JP2019522428A - サイバーセキュリティ管理システム、方法、および装置 - Google Patents

サイバーセキュリティ管理システム、方法、および装置 Download PDF

Info

Publication number
JP2019522428A
JP2019522428A JP2019500287A JP2019500287A JP2019522428A JP 2019522428 A JP2019522428 A JP 2019522428A JP 2019500287 A JP2019500287 A JP 2019500287A JP 2019500287 A JP2019500287 A JP 2019500287A JP 2019522428 A JP2019522428 A JP 2019522428A
Authority
JP
Japan
Prior art keywords
authentication
module
target
security
identifier
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2019500287A
Other languages
English (en)
Other versions
JP6737948B2 (ja
Inventor
漓春 李
漓春 李
斐 ▲劉▼
斐 ▲劉▼
スピーニ マルコ
スピーニ マルコ
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Huawei Technologies Co Ltd
Original Assignee
Huawei Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Huawei Technologies Co Ltd filed Critical Huawei Technologies Co Ltd
Publication of JP2019522428A publication Critical patent/JP2019522428A/ja
Application granted granted Critical
Publication of JP6737948B2 publication Critical patent/JP6737948B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • H04L63/205Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0869Network architectures or network communication protocols for network security for authentication of entities for achieving mutual authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/40Network security protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0892Network architectures or network communication protocols for network security for authentication of entities by using authentication-authorization-accounting [AAA] servers or protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • H04L67/1001Protocols in which an application is distributed across nodes in the network for accessing one among a plurality of replicated servers
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/03Protecting confidentiality, e.g. by encryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/10Integrity

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

本発明の実施形態は、サイバーセキュリティ管理システム、方法、および装置を開示する。システムは、UEと、ANと、ネットワーク機能選択モジュールと、少なくとも2つの認証モジュールとを含む。UEは第1のサービス要求をネットワーク機能選択モジュールに送信するように構成され、第1のサービス要求は認証プロトコル情報を搬送する。ネットワーク機能選択モジュールが、認証プロトコル情報に基づいて標的認証モジュールを選択し、第2のサービス要求を標的認証モジュールに送信するように構成される。標的認証モジュールは、UEとの相互認証を実行するように構成される。標的認証モジュールはさらに、指定されたセキュリティポリシーに従って第1のセキュリティ構成を決定し、第1のセキュリティ構成をANに送信するように構成される。ANが、第1のセキュリティ構成または指定されたセキュリティポリシーに基づいて第2のセキュリティ構成を決定し、第2のセキュリティ構成をUEに送信するように構成される。本発明において提供される技術的な解決法によれば、ネットワークの差別的な認証プロトコルおよびセキュリティポリシーセキュリティ要件が満たされることが可能であり、これによりサイバーセキュリティを改善する。

Description

本発明は、通信技術の分野に関し、より具体的には、サイバーセキュリティ管理システム、方法、および装置に関する。
4Gネットワークでは、異なる要件を伴うサービス、ネットワーク賃借、ネットワーク共有などをサポートするために、複数の専用コアネットワークがアクセスネットワークを共有することがある。各々の専用コアネットワークは、サービスの機能および性能に対する差別化された要件を満たすために、機能および性能について特定のサービスに最適化される。図1は、4G専用コアネットワークの概略的なアーキテクチャ図である。アクセスネットワークは複数の事業者に接続されることがあり、各事業者は専用コアネットワーク(英語:Dedicated Core Network,DCN)を有することがあり、複数のDNCがアクセスネットワークを共有する。ユーザ機器(英語:User Equipment,UE)は、アクセスネットワークに接続され、アクセスネットワークを使用することによって各事業者の専用コアネットワークとの業務サービスなどの対話を実施する。5Gネットワークでは、「ネットワークスライス」(略して「スライス」)と呼ばれる複数の論理ネットワークがある。異なるスライスは、機能および性能要件が異なるだけではなく、セキュリティ要件も異なることがある。
5Gネットワークにおけるスライスアーキテクチャに対する従来技術の考え方では、UEは同時に複数のスライスにアクセスすることがあり、ネットワークは、UEがアタッチされるべきスライスのスライス情報または認証ユニット(英語:Authentication Unit,AU)の負荷状態に基づいてAUを選択し、次いで、選択されたAUを使用することによってUEとの認証を実施し、または、たとえば標的スライスにアクセスするための動作を実行することをUEに認可する。従来技術では、AU選択の間、UEによってサポートされる認証プロトコルまたはアルゴリズムなどの情報が考慮されず、関連する設計の欠如がある。その結果、サイバーセキュリティがより良く保証されることが可能ではない。
本出願は、ネットワークの差別化された認証プロトコルおよびセキュリティポリシーセキュリティ要件を満たし、サイバーセキュリティを改善するための、サイバーセキュリティ管理システム、方法、および装置を提供する。
第1の態様によれば、サイバーセキュリティ管理システムが提供され、この管理システムは、少なくとも2つのネットワークスライスを含むネットワークのセキュリティ管理を実施するように構成され、このシステムは、ユーザ機器UEと、アクセスネットワークANと、ネットワーク機能選択モジュールと、少なくとも2つの認証モジュールとを含むことがあり、
UEが第1のサービス要求をネットワーク機能選択モジュールに送信するように構成され、第1のサービス要求が認証プロトコル情報を搬送し、
ネットワーク機能選択モジュールが、認証プロトコル情報に基づいて少なくとも2つの認証モジュールから標的認証モジュールを選択し、第2のサービス要求を標的認証モジュールに送信するように構成され、
標的認証モジュールが、第2のサービス要求を受信し、UEとの相互認証を実行するように構成され、
標的認証モジュールがさらに、UEがアタッチされるべき指定されたネットワークスライスの指定されたセキュリティポリシーに従って第1のセキュリティ構成を決定し、第2のサービス要求応答をANに送信するように構成され、第2のサービス要求応答が第1のセキュリティ構成を搬送し、
ANが、第1のセキュリティ構成または指定されたセキュリティポリシーに基づいて第2のセキュリティ構成を決定し、第1のサービス要求応答をUEに送信するように構成され、第1のサービス要求応答が第2のセキュリティ構成を搬送する。
本出願では、ネットワーク機能選択モジュールが、UEによってサポートされる認証プロトコルについての情報に基づいて、UEによってサポートされる認証プロトコルをサポートする認証モジュールを選択することがあり、次いで、認証モジュールが、UEとの相互認証を実行することがあり、これにより、認証モジュール選択精度およびサイバーセキュリティを改善する。本出願では、認証プロトコルに従って選択された標的認証モジュールがセキュリティ構成を生成することがあり、または、認証プロトコルおよびANに従って選択された標的認証モジュールがセキュリティ構成を生成することがあるので、選択柔軟性が高い。
第1の態様に関して、第1の可能な実装形態において、認証プロトコル情報は、UEによって選択される第1の認証プロトコルの識別子を含み、
ネットワーク機能選択モジュールは特に、
第1の認証プロトコルの識別子に基づいて、少なくとも2つの認証モジュールから第1の認証プロトコルをサポートする標的認証モジュールを選択する
ように構成される。
第1の態様の第1の可能な実装形態に関して、第2の可能な実装形態において、1つより多くの認証モジュールが第1の認証プロトコルをサポートする場合、ネットワーク機能選択モジュールは特に、
第1の認証プロトコルをサポートする各認証モジュールの負荷状態に基づいて、最も負荷の小さい認証モジュールを認証モジュールから標的認証モジュールとして選択する
ように構成される。あるいは、負荷が事前設定された閾値より小さい認証モジュールが、すべての認証モジュールから標的認証モジュールとして選択されることが、指摘されるべきである。言い換えると、負荷が事前設定された閾値より小さい複数の認証モジュールがある場合、負荷が事前設定された閾値より小さい複数の認証モジュールから認証モジュールがランダムに選択されることがあり、最も負荷の小さい認証モジュールが標的認証モジュールとして選択される必要は必ずしもない。
第1の態様に関して、第3の可能な実装形態において、認証プロトコル情報は、UEによって選択される第1の認証プロトコルの識別子を含み、
第1のサービス要求はさらに、指定されたネットワークスライスの識別子を搬送し、
ネットワーク機能選択モジュールは特に、
第1の認証プロトコルの識別子および指定されたネットワークスライスの識別子に基づいて、少なくとも2つの認証モジュールから第1の認証プロトコルおよび指定されたネットワークスライスをサポートする標的認証モジュールを選択する
ように構成される。
第1の態様の第3の可能な実装形態に関して、第4の可能な実装形態において、1つより多くの認証モジュールが第1の認証プロトコルおよび指定されたネットワークスライスをサポートする場合、ネットワーク機能選択モジュールは特に、
第1の認証プロトコルおよび指定されたネットワークスライスをサポートする各認証モジュールの負荷状態に基づいて、最も負荷の小さい認証モジュールを認証モジュールから標的認証モジュールとして選択する
ように構成される。
第1の態様に関して、第5の可能な実装形態において、認証プロトコル情報は、UEによってサポートされる少なくとも2つの第2の認証プロトコルの識別子を含み、
ネットワーク機能選択モジュールは特に、
第2の認証プロトコルの識別子に基づいて、第2の認証プロトコルのうちの少なくとも1つをサポートする被選択候補の認証モジュールを、少なくとも2つの認証モジュールから標的認証モジュールとして選択する
ように構成される。
第1の態様に関して、第6の可能な実装形態において、認証プロトコル情報は、UEによってサポートされる少なくとも2つの第2の認証プロトコルの識別子を含み、
第1のサービス要求はさらに、指定されたネットワークスライスの識別子を搬送し、
ネットワーク機能選択モジュールは特に、
第2の認証プロトコルの識別子に基づいて、第2の認証プロトコルのうちの少なくとも1つをサポートし指定されたネットワークスライスをサポートする被選択候補の認証モジュールを、少なくとも2つの認証モジュールから標的認証モジュールとして選択する
ように構成される。
第1の態様に関して、第7の可能な実装形態において、認証プロトコル情報は、UEによってサポートされる少なくとも2つの第2の認証プロトコルの識別子を含み、
ネットワーク機能選択モジュールは特に、
ネットワークにおいて設定される認証プロトコル選択優先順位に基づいて、UEによってサポートされる第2の認証プロトコルから最高の選択優先順位を有する認証プロトコルを決定し、最高の選択優先順位を有する認証プロトコルをサポートする被選択候補の認証モジュールを少なくとも2つの認証モジュールから標的認証モジュールとして選択する
ように構成される。
第1の態様の第5の可能な実装形態から第7の可能な実装形態のいずれか1つに関して、第8の可能な実装形態において、1つより多くの被選択候補の認証モジュールがある場合、ネットワーク機能選択モジュールは特に、
1つより多くの被選択候補の認証モジュールの各々の負荷状態に基づいて、最も負荷の小さい認証モジュールを認証モジュールから標的認証モジュールとして選択する
ように構成される。
第1の態様に関して、第9の可能な実装形態において、認証プロトコル情報は、UEによってサポートされる少なくとも2つの第3の認証プロトコルの識別子と、少なくとも2つの第3の認証プロトコルの各々の選択優先順位とを含み、
ネットワーク機能選択モジュールは特に、
第3の認証プロトコルの識別子に基づいて、少なくとも2つの認証モジュールから第3の認証プロトコルのうちの少なくとも1つをサポートする被選択候補の認証モジュールを選択し、
1つより多くの被選択候補の認証モジュールがある場合、各々の第3の認証プロトコルの選択優先順位に基づいて、最高の選択優先順位を有する第4の認証プロトコルをサポートする認証モジュールをすべての被選択候補の認証モジュールから標的認証モジュールとして選択する
ように構成される。
第1の態様に関して、第10の可能な実装形態において、認証プロトコル情報は、UEによってサポートされる少なくとも2つの第3の認証プロトコルの識別子と、少なくとも2つの第3の認証プロトコルの各々の選択優先順位とを含み、
第1のサービス要求はさらに、指定されたネットワークスライスの識別子を搬送し、
ネットワーク機能選択モジュールは特に、
第3の認証プロトコルの識別子に基づいて、少なくとも2つの認証モジュールから第3の認証プロトコルのうちの少なくとも1つをサポートする第1の認証モジュールを選択し、
1つより多くの第1の認証モジュールがある場合、各々の第3の認証プロトコルの選択優先順位に基づいて、最高の優先順位を有する第4の認証プロトコルをサポートする第2の認証モジュールをすべての第1の認証モジュールから選択し、
1つより多くの第2の認証モジュールがある場合、各々の第2の認証モジュールの負荷状態または各々の第2の認証モジュールによってサービスされるネットワークスライスについての情報に基づいて、指定されたネットワークスライスにサービスする、最も負荷の小さい認証モジュールを、第2の認証モジュールから標的認証モジュールとして選択する
ように構成される。
第1の態様に関して、第11の可能な実装形態において、ネットワーク機能選択モジュールは、第1のサブモジュールおよび第2のサブモジュールを含み、
第1のサブモジュールは、UEによって送信される第1のサービス要求を受信し、認証モジュール選択要求を第2のサブモジュールに送信するように構成され、認証モジュール選択要求は認証プロトコル情報を搬送し、
第2のサブモジュールは、認証プロトコル情報に基づいて少なくとも2つの認証モジュールから標的認証モジュールを選択し、標的認証モジュールの識別子を第1のサブモジュールに送信するように構成され、
第1のサブモジュールはさらに、標的認証モジュールの識別子に対応する標的認証モジュールに第2のサービス要求を送信するように構成される。
第1の態様の第11の可能な実装形態に関して、第12の可能な実装形態において、第2のサブモジュールは特に、前述の様々な可能な実装形態においてネットワーク機能選択モジュールによって実行される実装形態を実行するように構成される。
第1の態様の第1の可能な実装形態から第10の可能な実装形態のいずれか1つに関して、第3の可能な実装形態において、管理システムはセキュリティポリシーコントローラをさらに含み、
セキュリティポリシーコントローラは、ネットワークスライスセキュリティポリシーを認証モジュールまたはANに配信するように構成される。
第1の態様の第13の可能な実装形態に関して、第14の可能な実装形態において、セキュリティポリシーコントローラは、ネットワークスライスセキュリティポリシーを認証モジュールに配信するように構成され、
第2のサービス要求はさらに、UEのセキュリティ能力およびANのセキュリティ能力を搬送し、
標的認証モジュールはさらに、
指定されたネットワークスライスに対応する指定されたセキュリティポリシーにおいて指定される鍵長を決定して、鍵長に対応する鍵を生成し、
UEのセキュリティ能力、ANのセキュリティ能力、および指定されたセキュリティポリシーに基づいて、標的暗号化アルゴリズムまたは標的完全性保護アルゴリズムを選択し、
鍵、および標的暗号化アルゴリズムの識別子または標的完全性保護アルゴリズムの識別子を使用することによって第1のセキュリティ構成を生成して、第1のセキュリティ構成を第2のサービス要求応答に追加する
ように構成され、
ANは特に、
第2のセキュリティ構成として、第1のセキュリティ構成において搬送される標的暗号化アルゴリズムの識別子または標的完全性保護アルゴリズムの識別子を決定して、第2のセキュリティ構成を第1のサービス要求応答に追加する
ように構成される。
第1の態様の第13の可能な実装形態に関して、第15の可能な実装形態において、セキュリティポリシーコントローラは、ネットワークスライスセキュリティポリシーを認証モジュールおよびANに配信するように構成され、
第2のサービス要求はさらに、UEのセキュリティ能力を搬送し、
標的認証モジュールはさらに、
指定されたネットワークスライスの指定されたセキュリティポリシーにおいて指定される鍵長を決定し、鍵長に対応する鍵を生成し、鍵および指定されたネットワークスライスの識別子に基づいて第1のセキュリティ構成を生成し、第1のセキュリティ構成を第2のサービス要求応答に追加する
ように構成され、
ANは特に、
指定されたネットワークスライスの識別子に基づいて指定されたセキュリティポリシーを決定し、ANのセキュリティ能力、UEのセキュリティ能力、および指定されたセキュリティポリシーに基づいて、標的暗号化アルゴリズムまたは標的完全性保護アルゴリズムを選択し、
第2のセキュリティ構成を取得するために、標的暗号化アルゴリズムの識別子または標的完全性保護アルゴリズムの識別子を第1のセキュリティ構成に追加する
ように構成される。
第1の態様の第13の可能な実装形態に関して、第16の可能な実装形態において、セキュリティポリシーコントローラは、ネットワークスライスセキュリティポリシーを認証モジュールに配信するように構成され、
第2のサービス要求はさらに、UEのセキュリティ能力を搬送し、
標的認証モジュールはさらに、
UEのセキュリティ能力、ANのセキュリティ能力、および指定されたセキュリティポリシーに基づいて、標的暗号化アルゴリズムまたは標的完全性保護アルゴリズムを選択し、
標的暗号化アルゴリズムの識別子または標的完全性保護アルゴリズムの識別子を使用することによって第1のセキュリティ構成を生成して、第1のセキュリティ構成を第2のサービス要求応答に追加する
ように構成され、
ANは特に、
第2のセキュリティ構成として、第1のセキュリティ構成において搬送される標的暗号化アルゴリズムの識別子または標的完全性保護アルゴリズムの識別子を決定して、第2のセキュリティ構成を第1のサービス要求応答に追加する
ように構成される。
第1の態様の第14の可能な実装形態または第1の態様の第16の可能な実装形態に関して、第17の可能な実装形態において、標的暗号化アルゴリズムは、UEとANの両方によってサポートされる暗号化アルゴリズムの中で最高の選択優先順位を有する暗号化アルゴリズムであり、
標的完全性保護アルゴリズムは、UEとANの両方によってサポートされる完全性保護アルゴリズムの中で最高の選択優先順位を有する完全性保護アルゴリズムである。
第1の態様および第1の態様の第1の可能な実装形態から第17の可能な実装形態に関して、第18の可能な実装形態において、ネットワーク機能選択モジュールは、認証ユニットAU選択機能AUSF、AUルーティング機能AURF、スライス選択機能SSF、およびモビリティ管理MMのうちの少なくとも1つを含む。
第1の態様の第11の可能な実装形態から第1の態様の第17の可能な実装形態のいずれか1つに関して、第19の可能な実装形態において、第1のサブモジュールはAURFであり、第2のサブモジュールはAUSFである。
第1の態様の第11の可能な実装形態から第1の態様の第17の可能な実装形態のいずれか1つに関して、第20の可能な実装形態において、認証モジュールは、AU、フロントエンド、およびアクセス制御エージェントACAのうちの少なくとも1つを含む。
第2の態様によれば、サイバーセキュリティ管理システムが提供され、この管理システムは、少なくとも2つのネットワークスライスを含むネットワークのセキュリティ管理において認証モジュール選択を実施するように構成され、このシステムは、ユーザ機器UEと、ネットワーク機能選択モジュールと、少なくとも2つの認証モジュールとを含むことがあり、
UEが第1のサービス要求をネットワーク機能選択モジュールに送信するように構成され、第1のサービス要求が認証プロトコル情報を搬送し、
ネットワーク機能選択モジュールが、認証プロトコル情報に基づいて少なくとも2つの認証モジュールから標的認証モジュールを選択し、第2のサービス要求を標的認証モジュールに送信するように構成され、
標的認証モジュールが、第2のサービス要求を受信し、UEとの相互認証を実行するように構成される。
本出願では、ネットワーク機能選択モジュールは、UEによってサポートされる複数の認証プロトコル、認証プロトコルの各々の選択優先順位、ネットワークにおいて設定される認証プロトコル選択優先順位、スライス情報、認証モジュール負荷などに基づいて、標的認証モジュールを選択することがあり、それにより、認証モジュール選択柔軟性、認証モジュール選択精度、認証モジュール選択効率、およびサイバーセキュリティを改善する。
第2の態様に関して、第1の可能な実装形態において、認証プロトコル情報は、UEによって選択される第1の認証プロトコルの識別子を含み、
ネットワーク機能選択モジュールは特に、
第1の認証プロトコルの識別子に基づいて、少なくとも2つの認証モジュールから第1の認証プロトコルをサポートする標的認証モジュールを選択する
ように構成される。
第2の態様の第1の可能な実装形態に関して、第2の可能な実装形態において、1つより多くの認証モジュールが第1の認証プロトコルをサポートする場合、ネットワーク機能選択モジュールは特に、
第1の認証プロトコルをサポートする各認証モジュールの負荷状態に基づいて、最も負荷の小さい認証モジュールを認証モジュールから標的認証モジュールとして選択する
ように構成される。
第2の態様に関して、第3の可能な実装形態において、認証プロトコル情報は、UEによって選択される第1の認証プロトコルの識別子を含み、
第1のサービス要求はさらに、指定されたネットワークスライスの識別子を搬送し、
ネットワーク機能選択モジュールは特に、
第1の認証プロトコルの識別子および指定されたネットワークスライスの識別子に基づいて、少なくとも2つの認証モジュールから第1の認証プロトコルおよび指定されたネットワークスライスをサポートする標的認証モジュールを選択する
ように構成される。
第2の態様の第3の可能な実装形態に関して、第4の可能な実装形態において、1つより多くの認証モジュールが第1の認証プロトコルおよび指定されたネットワークスライスをサポートする場合、ネットワーク機能選択モジュールは特に、
第1の認証プロトコルおよび指定されたネットワークスライスをサポートする各認証モジュールの負荷状態に基づいて、最も負荷の小さい認証モジュールを認証モジュールから標的認証モジュールとして選択する
ように構成される。
第2の態様に関して、第5の可能な実装形態において、認証プロトコル情報は、UEによってサポートされる少なくとも2つの第2の認証プロトコルの識別子を含み、
ネットワーク機能選択モジュールは特に、
第2の認証プロトコルの識別子に基づいて、第2の認証プロトコルのうちの少なくとも1つをサポートする被選択候補の認証モジュールを、少なくとも2つの認証モジュールから標的認証モジュールとして選択する
ように構成される。
第2の態様に関して、第6の可能な実装形態において、認証プロトコル情報は、UEによってサポートされる少なくとも2つの第2の認証プロトコルの識別子を含み、
第1のサービス要求はさらに、指定されたネットワークスライスの識別子を搬送し、
ネットワーク機能選択モジュールは特に、
第2の認証プロトコルの識別子に基づいて、第2の認証プロトコルのうちの少なくとも1つをサポートし指定されたネットワークスライスをサポートする被選択候補の認証モジュールを、少なくとも2つの認証モジュールから標的認証モジュールとして選択する
ように構成される。
第2の態様に関して、第7の可能な実装形態において、認証プロトコル情報は、UEによってサポートされる少なくとも2つの第2の認証プロトコルの識別子を含み、
ネットワーク機能選択モジュールは特に、
ネットワークにおいて設定される認証プロトコル選択優先順位に基づいて、UEによってサポートされる第2の認証プロトコルから最高の選択優先順位を有する認証プロトコルを決定し、最高の選択優先順位を有する認証プロトコルをサポートする被選択候補の認証モジュールを少なくとも2つの認証モジュールから標的認証モジュールとして選択する
ように構成される。
第2の態様の第5の可能な実装形態から第2の態様の第7の可能な実装形態のいずれか1つに関して、第8の可能な実装形態において、1つより多くの被選択候補の認証モジュールがある場合、ネットワーク機能選択モジュールは特に、
1つより多くの被選択候補の認証モジュールの各々の負荷状態に基づいて、最も負荷の小さい認証モジュールを認証モジュールから標的認証モジュールとして選択する
ように構成される。
第2の態様に関して、第9の可能な実装形態において、認証プロトコル情報は、UEによってサポートされる少なくとも2つの第3の認証プロトコルの識別子と、少なくとも2つの第3の認証プロトコルの各々の選択優先順位とを含み、
ネットワーク機能選択モジュールは特に、
第3の認証プロトコルの識別子に基づいて、少なくとも2つの認証モジュールから第3の認証プロトコルのうちの少なくとも1つをサポートする被選択候補の認証モジュールを選択し、
1つより多くの被選択候補の認証モジュールがある場合、各々の第3の認証プロトコルの選択優先順位に基づいて、最高の選択優先順位を有する第4の認証プロトコルをサポートする認証モジュールをすべての被選択候補の認証モジュールから標的認証モジュールとして選択する
ように構成される。
第2の態様に関して、第10の可能な実装形態において、認証プロトコル情報は、UEによってサポートされる少なくとも2つの第3の認証プロトコルの識別子と、少なくとも2つの第3の認証プロトコルの各々の選択優先順位とを含み、
第1のサービス要求はさらに、指定されたネットワークスライスの識別子を搬送し、
ネットワーク機能選択モジュールは特に、
第3の認証プロトコルの識別子に基づいて、少なくとも2つの認証モジュールから第3の認証プロトコルのうちの少なくとも1つをサポートする第1の認証モジュールを選択し、
1つより多くの第1の認証モジュールがある場合、各々の第3の認証プロトコルの選択優先順位に基づいて、最高の優先順位を有する第4の認証プロトコルをサポートする第2の認証モジュールをすべての第1の認証モジュールから選択し、
1つより多くの第2の認証モジュールがある場合、各々の第2の認証モジュールの負荷状態または各々の第2の認証モジュールによってサービスされるネットワークスライスについての情報に基づいて、指定されたネットワークスライスにサービスする、最も負荷の小さい認証モジュールを、第2の認証モジュールから標的認証モジュールとして選択する
ように構成される。
第2の態様に関して、第11の可能な実装形態において、ネットワーク機能選択モジュールは、第1のサブモジュールおよび第2のサブモジュールを含み、
第1のサブモジュールは、UEによって送信される第1のサービス要求を受信し、認証モジュール選択要求を第2のサブモジュールに送信するように構成され、認証モジュール選択要求は認証プロトコル情報を搬送し、
第2のサブモジュールは、認証プロトコル情報に基づいて少なくとも2つの認証モジュールから標的認証モジュールを選択し、標的認証モジュールの識別子を第1のサブモジュールに送信するように構成され、
第1のサブモジュールはさらに、標的認証モジュールの識別子に対応する標的認証モジュールに第2のサービス要求を送信するように構成される。
第2の態様の第11の可能な実装形態に関して、第12の可能な実装形態において、第2のサブモジュールは特に、ネットワーク機能選択モジュールによって実行される実装形態のいずれか1つを実行するように構成される。
第2の態様および第2の態様の第1の可能な実装形態から第12の可能な実装形態のいずれか1つに関して、第13の可能な実装形態において、ネットワーク機能選択モジュールは、認証ユニットAU選択機能AUSF、AUルーティング機能AURF、スライス選択機能SSF、およびモビリティ管理MMのうちの少なくとも1つを含む。
第2の態様の第11の可能な実装形態と第2の態様の第12の可能な実装形態のいずれかに関して、第14の可能な実装形態において、第1のサブモジュールはAURFであり、第2のサブモジュールはAUSFである。
第2の態様および第2の態様の第1の可能な実装形態から第12の可能な実装形態のいずれか1つに関して、第15の可能な実装形態において、認証モジュールは、AU、フロントエンド、およびアクセス制御エージェントACAのうちの少なくとも1つを含む。
第3の態様によれば、サイバーセキュリティ管理システムが提供され、この管理システムは、少なくとも2つのネットワークスライスを含むネットワークのセキュリティ管理においてセキュリティ構成管理を実施するように構成され、このシステムは、ユーザ機器UEと、アクセスネットワークANと、セキュリティポリシーコントローラと、認証モジュールとを含むことがあり、
セキュリティポリシーコントローラは、ネットワークスライスセキュリティポリシーをANまたは認証モジュールに配信するように構成され、
UEは第1のサービス要求をANに送信するように構成され、第1のサービス要求はUEがアタッチされるべき指定されたネットワークスライスの識別子を搬送し、
ANは第2のサービス要求を認証モジュールに送信するように構成され、第2のサービス要求はUEがアタッチされるべき指定されたネットワークスライスの識別子を搬送し、
認証モジュールが、第2のサービス要求を受信し、UEとの相互認証を実行するように構成され、
認証モジュールがさらに、指定されたネットワークスライスの指定されたセキュリティポリシーに従って第1のセキュリティ構成を決定し、第2のサービス要求応答をANに送信するように構成され、第2のサービス要求応答が第1のセキュリティ構成を搬送し、
ANがさらに、第1のセキュリティ構成または指定されたセキュリティポリシーに基づいて第2のセキュリティ構成を決定し、第1のサービス要求応答をUEに送信するように構成され、第1のサービス要求応答が第2のセキュリティ構成を搬送する。
本出願では、認証プロトコルに従って選択された標的認証モジュールがセキュリティ構成を生成することがあり、または、認証プロトコルおよびANに従って選択された標的認証モジュールがセキュリティ構成を生成することがあるので、選択柔軟性が高く、サイバーセキュリティが改善される。
第3の態様に関して、第1の可能な実装形態において、セキュリティポリシーコントローラは、ネットワークスライスセキュリティポリシーを認証モジュールに配信するように構成され、
第2のサービス要求はさらに、UEのセキュリティ能力およびANのセキュリティ能力を搬送し、
認証モジュールはさらに、
指定されたネットワークスライスに対応する指定されたセキュリティポリシーにおいて指定される鍵長を決定して、鍵長に対応する鍵を生成し、
UEのセキュリティ能力、ANのセキュリティ能力、および指定されたセキュリティポリシーに基づいて、標的暗号化アルゴリズムまたは標的完全性保護アルゴリズムを選択し、
鍵、および標的暗号化アルゴリズムの識別子または標的完全性保護アルゴリズムの識別子を使用することによって第1のセキュリティ構成を生成して、第1のセキュリティ構成を第2のサービス要求応答に追加する
ように構成され、
ANは特に、
第2のセキュリティ構成として、第1のセキュリティ構成において搬送される標的暗号化アルゴリズムの識別子または標的完全性保護アルゴリズムの識別子を決定して、第2のセキュリティ構成を第1のサービス要求応答に追加する
ように構成される。
第3の態様に関して、第2の可能な実装形態において、セキュリティポリシーコントローラは、ネットワークスライスセキュリティポリシーを認証モジュールおよびANに配信するように構成され、
第2のサービス要求はさらに、UEのセキュリティ能力を搬送し、
認証モジュールはさらに、
指定されたネットワークスライスの指定されたセキュリティポリシーにおいて指定される鍵長を決定し、鍵長に対応する鍵を生成し、鍵および指定されたネットワークスライスの識別子に基づいて第1のセキュリティ構成を生成し、第1のセキュリティ構成を第2のサービス要求応答に追加する
ように構成され、
ANは特に、
指定されたネットワークスライスの識別子に基づいて指定されたセキュリティポリシーを決定し、ANのセキュリティ能力、UEのセキュリティ能力、および指定されたセキュリティポリシーに基づいて、標的暗号化アルゴリズムまたは標的完全性保護アルゴリズムを選択し、
第2のセキュリティ構成を取得するために、標的暗号化アルゴリズムの識別子または標的完全性保護アルゴリズムの識別子を第1のセキュリティ構成に追加する
ように構成される。
第3の態様に関して、第3の可能な実装形態において、セキュリティポリシーコントローラは、ネットワークスライスセキュリティポリシーを認証モジュールに配信するように構成され、
第2のサービス要求はさらに、UEのセキュリティ能力およびANのセキュリティ能力を搬送し、
認証モジュールはさらに、
UEのセキュリティ能力、ANのセキュリティ能力、および指定されたセキュリティポリシーに基づいて、標的暗号化アルゴリズムまたは標的完全性保護アルゴリズムを選択し、
鍵、および標的暗号化アルゴリズムの識別子または標的完全性保護アルゴリズムの識別子を使用することによって第1のセキュリティ構成を生成して、第1のセキュリティ構成を第2のサービス要求応答に追加する
ように構成され、
ANは特に、
第2のセキュリティ構成として、第1のセキュリティ構成において搬送される標的暗号化アルゴリズムの識別子または標的完全性保護アルゴリズムの識別子を決定して、第2のセキュリティ構成を第1のサービス要求応答に追加する
ように構成される。
第3の態様の第1の可能な実装形態から第3の態様の第3の可能な実装形態のいずれか1つに関して、第4の可能な実装形態において、標的暗号化アルゴリズムは、UEとANの両方によってサポートされる暗号化アルゴリズムの中で最高の選択優先順位を有する暗号化アルゴリズムであり、
標的完全性保護アルゴリズムは、UEとANの両方によってサポートされる完全性保護アルゴリズムの中で最高の選択優先順位を有する完全性保護アルゴリズムである。
第3の態様および第3の態様の第1の可能な実装形態から第4の可能な実装形態のいずれか1つに関して、第5の可能な実装形態において、認証モジュールは、AU、フロントエンド、およびアクセス制御エージェントACAのうちの少なくとも1つを含む。
第4の態様によれば、サイバーセキュリティ管理方法が提供され、この方法は、
ネットワーク機能選択モジュールによって、ユーザ機器UEによって送信される第1のサービス要求を受信するステップであって、第1のサービス要求が認証プロトコル情報を搬送する、ステップと、
認証プロトコル情報に基づいてネットワーク機能選択モジュールによって、ネットワークに含まれる少なくとも2つの認証モジュールから標的認証モジュールを選択するステップと、
ネットワーク機能選択モジュールによって、第2のサービス要求を標的認証モジュールに送信するステップと
を含み得る。
第4の態様に関して、第1の可能な実装形態において、認証プロトコル情報は、UEによって選択される第1の認証プロトコルの識別子を含み、
認証プロトコル情報に基づいてネットワーク機能選択モジュールによって、ネットワークに含まれる少なくとも2つの認証モジュールから標的認証モジュールを選択するステップが、
ネットワーク機能選択モジュールによって、第1の認証プロトコルの識別子に基づいて、少なくとも2つの認証モジュールから第1の認証プロトコルをサポートする標的認証モジュールを選択するステップを含む。
第4の態様の第1の可能な実装形態に関して、第2の可能な実装形態において、1つより多くの認証モジュールが第1の認証プロトコルをサポートする場合、方法は、
第1の認証プロトコルをサポートする各認証モジュールの負荷状態に基づいて、最も負荷の小さい認証モジュールを認証モジュールから標的認証モジュールとして選択するステップをさらに含む。
第4の態様に関して、第3の可能な実装形態において、認証プロトコル情報は、UEによって選択される第1の認証プロトコルの識別子を含み、
第1のサービス要求はさらに、指定されたネットワークスライスの識別子を搬送し、
認証プロトコル情報に基づいてネットワーク機能選択モジュールによって、ネットワークに含まれる少なくとも2つの認証モジュールから標的認証モジュールを選択するステップが、
ネットワーク機能選択モジュールによって、第1の認証プロトコルの識別子および指定されたネットワークスライスの識別子に基づいて、少なくとも2つの認証モジュールから第1の認証プロトコルおよび指定されたネットワークスライスをサポートする標的認証モジュールを選択するステップを含む。
第4の態様の第3の可能な実装形態に関して、第4の可能な実装形態において、1つより多くの認証モジュールが第1の認証プロトコルおよび指定されたネットワークスライスをサポートする場合、方法は、
第1の認証プロトコルおよび指定されたネットワークスライスをサポートする各認証モジュールの負荷状態に基づいて、最も負荷の小さい認証モジュールを認証モジュールから標的認証モジュールとして選択するステップをさらに含む。
第4の態様に関して、第5の可能な実装形態において、認証プロトコル情報は、UEによってサポートされる少なくとも2つの第2の認証プロトコルの識別子を含み、
認証プロトコル情報に基づいてネットワーク機能選択モジュールによって、ネットワークに含まれる少なくとも2つの認証モジュールから標的認証モジュールを選択するステップが、
ネットワーク機能選択モジュールによって、第2の認証プロトコルの識別子に基づいて、少なくとも2つの認証モジュールから第2の認証プロトコルのうちの少なくとも1つをサポートする被選択候補の認証モジュールを、標的認証モジュールとして選択するステップを含む。
第4の態様に関して、第6の可能な実装形態において、認証プロトコル情報は、UEによってサポートされる少なくとも2つの第2の認証プロトコルの識別子を含み、
第1のサービス要求はさらに、指定されたネットワークスライスの識別子を搬送し、
認証プロトコル情報に基づいてネットワーク機能選択モジュールによって、ネットワークに含まれる少なくとも2つの認証モジュールから標的認証モジュールを選択するステップが、
ネットワーク機能選択モジュールによって、第2の認証プロトコルの識別子に基づいて、少なくとも2つの認証モジュールから第2の認証プロトコルのうちの少なくとも1つをサポートし指定されたネットワークスライスをサポートする被選択候補の認証モジュールを、標的認証モジュールとして選択するステップを含む。
第4の態様に関して、第7の可能な実装形態において、認証プロトコル情報は、UEによってサポートされる少なくとも2つの第2の認証プロトコルの識別子を含み、
認証プロトコル情報に基づいてネットワーク機能選択モジュールによって、ネットワークに含まれる少なくとも2つの認証モジュールから標的認証モジュールを選択するステップが、
ネットワーク機能選択モジュールによって、ネットワークにおいて設定される認証プロトコル選択優先順位に基づいて、UEによってサポートされる第2の認証プロトコルから最高の選択優先順位を有する認証プロトコルを決定し、最高の選択優先順位を有する認証プロトコルをサポートする被選択候補の認証モジュールを少なくとも2つの認証モジュールから標的認証モジュールとして選択するステップを含む。
第4の態様の第5の可能な実装形態から第4の態様の第7の可能な実装形態のいずれか1つに関して、第8の可能な実装形態において、1つより多くの被選択候補の認証モジュールがある場合、方法は、
1つより多くの被選択候補の認証モジュールの各々の負荷状態に基づいて、最も負荷の小さい認証モジュールを認証モジュールから標的認証モジュールとして選択するステップをさらに含む。
第4の態様に関して、第9の可能な実装形態において、認証プロトコル情報は、UEによってサポートされる少なくとも2つの第3の認証プロトコルの識別子と、少なくとも2つの第3の認証プロトコルの各々の選択優先順位とを含み、
認証プロトコル情報に基づいてネットワーク機能選択モジュールによって、ネットワークに含まれる少なくとも2つの認証モジュールから標的認証モジュールを選択するステップが、
ネットワーク機能選択モジュールによって、第3の認証プロトコルの識別子に基づいて、少なくとも2つの認証モジュールから第3の認証プロトコルのうちの少なくとも1つをサポートする被選択候補の認証モジュールを選択するステップと、
1つより多くの被選択候補の認証モジュールがある場合、各々の第3の認証プロトコルの選択優先順位に基づいて、最高の選択優先順位を有する第4の認証プロトコルをサポートする認証モジュールをすべての被選択候補の認証モジュールから標的認証モジュールとして選択するステップと
を含む。
第4の態様に関して、第10の可能な実装形態において、認証プロトコル情報は、UEによってサポートされる少なくとも2つの第3の認証プロトコルの識別子と、少なくとも2つの第3の認証プロトコルの各々の選択優先順位とを含み、
第1のサービス要求はさらに、指定されたネットワークスライスの識別子を搬送し、
認証プロトコル情報に基づいてネットワーク機能選択モジュールによって、ネットワークに含まれる少なくとも2つの認証モジュールから標的認証モジュールを選択するステップが、
ネットワーク機能選択モジュールによって、第3の認証プロトコルの識別子に基づいて、少なくとも2つの認証モジュールから第3の認証プロトコルのうちの少なくとも1つをサポートする第1の認証モジュールを選択するステップと、
1つより多くの第1の認証モジュールがある場合、各々の第3の認証プロトコルの選択優先順位に基づいて、最高の優先順位を有する第4の認証プロトコルをサポートする第2の認証モジュールをすべての第1の認証モジュールから選択するステップと、
1つより多くの第2の認証モジュールがある場合、各々の第2の認証モジュールの負荷状態または各々の第2の認証モジュールによってサービスされるネットワークスライスについての情報に基づいて、指定されたネットワークスライスにサービスする、最も負荷の小さい認証モジュールを、第2の認証モジュールから標的認証モジュールとして選択するステップと
を含む。
第4の態様および第4の態様の第1の可能な実装形態から第10の可能な実装形態のいずれか1つに関して、第11の可能な実装形態において、ネットワーク機能選択モジュールは、認証ユニットAU選択機能AUSF、AUルーティング機能AURF、スライス選択機能SSF、およびモビリティ管理MMのうちの少なくとも1つを含む。
第5の態様によれば、サイバーセキュリティ管理方法が提供され、この方法は、
第2のネットワーク機能選択モジュールによって、第1のネットワーク機能選択モジュールによって送信される認証モジュール選択要求を受信するステップであって、認証モジュール選択要求がユーザ機器UEによって送信される認証プロトコル情報を搬送する、ステップと、
認証プロトコル情報に基づいて第2のネットワーク機能選択モジュールによって、ネットワークに含まれる少なくとも2つの認証モジュールから標的認証モジュールを選択するステップと、
第1のネットワーク機能選択モジュールを使用することによってサービス要求を標的認証モジュールに送信するために、第2のネットワーク機能選択モジュールによって、標的認証モジュールの識別子を第1のネットワーク機能選択モジュールに送信するステップと
を含み得る。
第6の態様によれば、サイバーセキュリティ管理方法が提供され、この方法は、
認証モジュールによって、セキュリティポリシーコントローラによって配信されるネットワークスライスセキュリティポリシーを受信するステップと、
認証モジュールによって、アクセスネットワークANによって送信されるサービス要求を受信するステップであって、サービス要求が、ユーザ機器UEのセキュリティ能力と、UEがアタッチされるべき指定されたネットワークスライスの識別子とを搬送する、ステップと、
指定されたネットワークスライスの識別子に基づく指定されたネットワークスライスの指定されたセキュリティポリシーのために、認証モジュールによって、セキュリティポリシーコントローラによって配信されるネットワークスライスセキュリティポリシーを探して、指定されたセキュリティポリシーに従ってセキュリティ構成を決定するステップと、
認証モジュールによって、サービス要求応答をANに送信するステップであって、サービス要求応答はセキュリティ構成を搬送する、ステップと
を含むことがある。
第6の態様に関して、第1の可能な実装形態において、指定されたセキュリティポリシーは、鍵情報および暗号化アルゴリズム情報または完全性保護アルゴリズム情報を含み、
サービス要求はさらに、ユーザ機器UEのセキュリティ能力を搬送し、
指定されたセキュリティポリシーに従ってセキュリティ構成を決定するステップは、
指定されたネットワークスライスの指定されたセキュリティポリシーにおいて指定される鍵長を決定して、鍵長に対応する鍵を生成するステップと、
UEのセキュリティ能力、ANのセキュリティ能力、ならびに指定されたセキュリティポリシーに含まれる暗号化アルゴリズム情報および完全性保護アルゴリズム情報に基づいて、標的暗号化アルゴリズムまたは標的完全性保護アルゴリズムを選択するステップと、
鍵、および標的暗号化アルゴリズムの識別子または標的完全性保護アルゴリズムの識別子に基づいてセキュリティ構成を生成して、セキュリティ構成を第2のサービス要求応答に追加するステップと
を含む。
第6の態様に関して、第2の可能な実装形態において、指定されたセキュリティポリシーは鍵情報を含み、
指定されたセキュリティポリシーに従ってセキュリティ構成を決定するステップは、
指定されたネットワークスライスの指定されたセキュリティポリシーにおいて指定される鍵長を決定し、鍵長に対応する鍵を生成し、鍵および指定されたネットワークスライスの識別子に基づいてセキュリティ構成を生成し、セキュリティ構成を第2のサービス要求応答に追加するステップを含む。
第6の態様に関して、第3の可能な実装形態において、指定されたセキュリティポリシーは、暗号化アルゴリズム情報または完全性保護アルゴリズム情報を含み、
サービス要求はさらに、ユーザ機器UEのセキュリティ能力を搬送し、
指定されたセキュリティポリシーに従ってセキュリティ構成を決定するステップは、
UEのセキュリティ能力、ANのセキュリティ能力、ならびに指定されたセキュリティポリシーに含まれる暗号化アルゴリズム情報および完全性保護アルゴリズム情報に基づいて、標的暗号化アルゴリズムまたは標的完全性保護アルゴリズムを選択するステップと、
標的暗号化アルゴリズムの識別子または標的完全性保護アルゴリズムの識別子に基づいてセキュリティ構成を生成して、セキュリティ構成を第2のサービス要求応答に追加するステップと
を含む。
第6の態様の第1の可能な実装形態から第6の態様の第3の可能な実装形態のいずれか1つに関して、第4の可能な実装形態において、指定されたセキュリティポリシーに含まれる暗号化アルゴリズム情報は暗号化アルゴリズム選択優先順位であり、完全性保護アルゴリズム情報は完全性保護アルゴリズム選択優先順位であり、
標的暗号化アルゴリズムは、UEとANの両方によってサポートされる暗号化アルゴリズムの中で最高の選択優先順位を有する暗号化アルゴリズムであり、
標的完全性保護アルゴリズムは、UEとANの両方によってサポートされる完全性保護アルゴリズムの中で最高の選択優先順位を有する完全性保護アルゴリズムである。
第6の態様および第6の態様の第1の可能な実装形態から第4の可能な実装形態のいずれか1つに関して、第5の可能な実装形態において、認証モジュールは、認証ユニットAU、フロントエンド、およびアクセス制御エージェントACAのうちの少なくとも1つを含む。
第7の態様によれば、サイバーセキュリティ管理方法が提供され、この方法は、
アクセスネットワークANによって、ユーザ機器UEによって送信される第1のサービス要求を受信するステップであって、第1のサービス要求が、UEのセキュリティ能力と、UEがアタッチされるべき指定されたネットワークスライスの識別子とを搬送する、ステップと、
ANによって、第2のサービス要求を認証モジュールに送信するステップであって、第2のサービス要求が、UEがアタッチされるべき指定されたネットワークスライスの識別子と、ANのセキュリティ能力と、UEのセキュリティ能力とを搬送する、ステップと、
ANによって、認証モジュールによって送信される第2のサービス要求応答を受信するステップであって、第2のサービス要求応答が、指定されたネットワークスライスの識別子、ANのセキュリティ能力、およびUEのセキュリティ能力に基づいて認証モジュールによって決定される第1のセキュリティ構成を搬送する、ステップと、
ANによって、第1のセキュリティ構成に基づいて第2のセキュリティ構成を決定し、第1のサービス要求応答をUEに送信するステップであって、第1のサービス要求応答が第2のセキュリティ構成を搬送する、ステップと
を含むことがある。
第7の態様に関して、第1の可能な実装形態において、第1のセキュリティ構成は、鍵および暗号化アルゴリズムの識別子または完全性保護アルゴリズムの識別子を含み、
ANによって、第1のセキュリティ構成に基づいて第2のセキュリティ構成を決定するステップが、
ANによって鍵を記憶し、暗号化アルゴリズムの識別子および完全性保護アルゴリズムの識別子を第1のセキュリティ構成から取得し、暗号化アルゴリズムの識別子および完全性保護アルゴリズムの識別子に基づいて第2のセキュリティ構成を生成するステップを含む。
第8の態様によれば、サイバーセキュリティ管理方法が提供され、この方法は、
アクセスネットワークANによって、ユーザ機器UEによって送信される第1のサービス要求を受信するステップであって、第1のサービス要求が、UEのセキュリティ能力と、UEがアタッチされるべき指定されたネットワークスライスの識別子とを搬送する、ステップと、
ANによって、第2のサービス要求を認証モジュールに送信するステップであって、第2のサービス要求が、UEがアタッチされるべき指定されたネットワークスライスの識別子を搬送する、ステップと、
ANによって、認証モジュールによって送信される第2のサービス要求応答を受信するステップと、
ANによって、UEのセキュリティ能力および指定されたネットワークスライスの識別子に対応する指定されたセキュリティポリシーに基づいて第2のセキュリティ構成を決定し、第1のサービス要求応答をUEに送信するステップであって、第1のサービス要求応答が第2のセキュリティ構成を搬送する、ステップと
を含むことがある。
第8の態様に関して、第1の可能な実装形態において、ANによって、UEのセキュリティ能力および指定されたネットワークスライスの識別子に対応する指定されたセキュリティポリシーに基づいて第2のセキュリティ構成を決定するステップが、
ANによって、指定されたネットワークスライスの識別子に基づいて指定されたセキュリティポリシーを決定するステップと、
ANのセキュリティ能力、UEのセキュリティ能力、および指定されたセキュリティポリシーに基づいて標的暗号化アルゴリズムまたは標的完全性保護アルゴリズムを選択し、標的暗号化アルゴリズムの識別子または標的完全性保護アルゴリズムの識別子に基づいて第2のセキュリティ構成を生成するステップと
を含む。
第8の態様の第1の可能な実装形態に関して、第2の可能な実装形態において、指定されたセキュリティポリシーに含まれる暗号化アルゴリズム情報は暗号化アルゴリズム選択優先順位であり、完全性保護アルゴリズム情報は完全性保護アルゴリズム選択優先順位であり、
標的暗号化アルゴリズムは、UEとANの両方によってサポートされる暗号化アルゴリズムの中で最高の選択優先順位を有する暗号化アルゴリズムであり、
標的完全性保護アルゴリズムは、UEとANの両方によってサポートされる完全性保護アルゴリズムの中で最高の選択優先順位を有する完全性保護アルゴリズムである。
第9の態様によれば、サイバーセキュリティ管理装置が提供され、この装置は、
ユーザ機器UEによって送信される第1のサービス要求を受信するように構成される受信ユニットであって、第1のサービス要求が認証プロトコル情報を搬送する、受信ユニットと、
受信ユニットによって受信される認証プロトコル情報に基づいて、ネットワークに含まれる少なくとも2つの認証モジュールから標的認証モジュールを選択するように構成される選択ユニットと、
選択ユニットによって選択される標的認証モジュールに第2のサービス要求を送信するように構成される送信ユニットと
を含み得る。
第9の態様に関して、第1の可能な実装形態において、認証プロトコル情報は、UEによって選択される第1の認証プロトコルの識別子を含み、
選択ユニットは特に、
第1の認証プロトコルの識別子に基づいて、少なくとも2つの認証モジュールから第1の認証プロトコルをサポートする標的認証モジュールを選択する
ように構成される。
第9の態様の第1の可能な実装形態に関して、第2の可能な実装形態において、1つより多くの認証モジュールが第1の認証プロトコルをサポートする場合、
選択ユニットは特に、
第1の認証プロトコルをサポートする各認証モジュールの負荷状態に基づいて、最も負荷の小さい認証モジュールを認証モジュールから標的認証モジュールとして選択する
ように構成される。
第9の態様に関して、第3の可能な実装形態において、認証プロトコル情報は、UEによって選択される第1の認証プロトコルの識別子を含み、
第1のサービス要求はさらに、指定されたネットワークスライスの識別子を搬送し、
選択ユニットは特に、
第1の認証プロトコルの識別子および指定されたネットワークスライスの識別子に基づいて、少なくとも2つの認証モジュールから第1の認証プロトコルおよび指定されたネットワークスライスをサポートする標的認証モジュールを選択する
ように構成される。
第9の態様の第3の可能な実装形態に関して、第4の可能な実装形態において、1つより多くの認証モジュールが第1の認証プロトコルおよび指定されたネットワークスライスをサポートする場合、選択ユニットは特に、
第1の認証プロトコルおよび指定されたネットワークスライスをサポートする各認証モジュールの負荷状態に基づいて、最も負荷の小さい認証モジュールを認証モジュールから標的認証モジュールとして選択する
ように構成される。
第9の態様に関して、第5の可能な実装形態において、認証プロトコル情報は、UEによってサポートされる少なくとも2つの第2の認証プロトコルの識別子を含み、
選択ユニットは特に、
第2の認証プロトコルの識別子に基づいて、第2の認証プロトコルのうちの少なくとも1つをサポートする被選択候補の認証モジュールを、少なくとも2つの認証モジュールから標的認証モジュールとして選択する
ように構成される。
第9の態様に関して、第6の可能な実装形態において、認証プロトコル情報は、UEによってサポートされる少なくとも2つの第2の認証プロトコルの識別子を含み、
第1のサービス要求はさらに、指定されたネットワークスライスの識別子を搬送し、
選択ユニットは特に、
第2の認証プロトコルの識別子に基づいて、第2の認証プロトコルのうちの少なくとも1つをサポートし指定されたネットワークスライスをサポートする被選択候補の認証モジュールを、少なくとも2つの認証モジュールから標的認証モジュールとして選択する
ように構成される。
第9の態様に関して、第7の可能な実装形態において、認証プロトコル情報は、UEによってサポートされる少なくとも2つの第2の認証プロトコルの識別子を含み、
選択ユニットは特に、
ネットワークにおいて設定される認証プロトコル選択優先順位に基づいて、UEによってサポートされる第2の認証プロトコルから最高の選択優先順位を有する認証プロトコルを決定し、最高の選択優先順位を有する認証プロトコルをサポートする被選択候補の認証モジュールを少なくとも2つの認証モジュールから標的認証モジュールとして選択する
ように構成される。
第9の態様の第5の可能な実装形態から第9の態様の第7の可能な実装形態のいずれか1つに関して、第8の可能な実装形態において、1つより多くの被選択候補の認証モジュールがある場合、選択ユニットは特に、
1つより多くの被選択候補の認証モジュールの各々の負荷状態に基づいて、最も負荷の小さい認証モジュールを認証モジュールから標的認証モジュールとして選択する
ように構成される。
第9の態様に関して、第9の可能な実装形態において、認証プロトコル情報は、UEによってサポートされる少なくとも2つの第3の認証プロトコルの識別子と、少なくとも2つの第3の認証プロトコルの各々の選択優先順位とを含み、
選択ユニットは特に、
第3の認証プロトコルの識別子に基づいて、少なくとも2つの認証モジュールから第3の認証プロトコルのうちの少なくとも1つをサポートする被選択候補の認証モジュールを選択し、
1つより多くの被選択候補の認証モジュールがある場合、各々の第3の認証プロトコルの選択優先順位に基づいて、最高の選択優先順位を有する第4の認証プロトコルをサポートする認証モジュールをすべての被選択候補の認証モジュールから標的認証モジュールとして選択する
ように構成される。
第9の態様に関して、第10の可能な実装形態において、認証プロトコル情報は、UEによってサポートされる少なくとも2つの第3の認証プロトコルの識別子と、少なくとも2つの第3の認証プロトコルの各々の選択優先順位とを含み、
第1のサービス要求はさらに、指定されたネットワークスライスの識別子を搬送し、
選択ユニットは特に、
第3の認証プロトコルの識別子に基づいて、少なくとも2つの認証モジュールから第3の認証プロトコルのうちの少なくとも1つをサポートする第1の認証モジュールを選択し、
1つより多くの第1の認証モジュールがある場合、各々の第3の認証プロトコルの選択優先順位に基づいて、最高の優先順位を有する第4の認証プロトコルをサポートする第2の認証モジュールをすべての第1の認証モジュールから選択し、
1つより多くの第2の認証モジュールがある場合、各々の第2の認証モジュールの負荷状態または各々の第2の認証モジュールによってサービスされるネットワークスライスについての情報に基づいて、指定されたネットワークスライスにサービスする、最も負荷の小さい認証モジュールを、第2の認証モジュールから標的認証モジュールとして選択する
ように構成される。
第9の態様に関して、第11の可能な実装形態において、選択ユニットは、第1のサブユニットおよび第2のサブユニットを含み、
第1のサブユニットは、UEによって送信される第1のサービス要求を受信し、認証モジュール選択要求を第2のサブユニットに送信するように構成され、認証モジュール選択要求は認証プロトコル情報を搬送し、
第2のサブユニットは、認証プロトコル情報に基づいて少なくとも2つの認証モジュールから標的認証モジュールを選択し、標的認証モジュールの識別子を第1のサブユニットに送信するように構成され、
第1のサブユニットはさらに、標的認証モジュールの識別子に対応する標的認証モジュールに第2のサービス要求を送信するように構成される。
第9の態様の第11の可能な実装形態に関して、第12の可能な実装形態において、第2のサブユニットは特に、選択ユニットによって実行される実装形態のいずれか1つを実行するように構成される。
第9の態様および第9の態様の第1の可能な実装形態から第10の可能な実装形態に関して、第13の可能な実装形態において、選択ユニットは、認証ユニットAU選択機能AUSF、AUルーティング機能AURF、スライス選択機能SSF、およびモビリティ管理MMのうちの少なくとも1つを含む。
第9の態様の第11の可能な実装形態または第9の態様の第12の可能な実装形態のいずれかに関して、第13の可能な実装形態において、第1のサブユニットはAURFであり、第2のサブユニットはAUSFである。
第10の態様によれば、サイバーセキュリティ管理装置が提供され、この装置は、
セキュリティポリシーコントローラによって配信されるネットワークスライスセキュリティポリシーを受信するように構成される受信ユニットであって、
受信ユニットが、アクセスネットワークANによって送信されるサービス要求を受信するようにさらに構成され、サービス要求が、ユーザ機器UEのセキュリティ能力と、UEがアタッチされるべき指定されたネットワークスライスの識別子とを搬送する、受信ユニットと、
受信ユニットによって受信される指定されたネットワークスライスの識別子に基づく指定されたネットワークスライスの指定されたセキュリティポリシーのために、セキュリティポリシーコントローラによって配信されるネットワークスライスセキュリティポリシーを探して、指定されたセキュリティポリシーに従ってセキュリティ構成を決定するように構成される実行ユニットと、
サービス要求応答をANに送信するように構成される送信ユニットであって、サービス要求応答は実行ユニットによって決定されるセキュリティ構成を搬送する、送信ユニットと
を含むことがある。
第10の態様に関して、第1の可能な実装形態において、指定されたセキュリティポリシーは、鍵情報および暗号化アルゴリズム情報または完全性保護アルゴリズム情報を含み、
サービス要求はさらに、ユーザ機器UEのセキュリティ能力を搬送し、
実行ユニットは特に、
指定されたネットワークスライスの指定されたセキュリティポリシーにおいて指定される鍵長を決定して、鍵長に対応する鍵を生成し、
UEのセキュリティ能力、ANのセキュリティ能力、および指定されたセキュリティポリシーに含まれる暗号化アルゴリズム情報または完全性保護アルゴリズム情報に基づいて、標的暗号化アルゴリズムまたは標的完全性保護アルゴリズムを選択し、
鍵、および標的暗号化アルゴリズムの識別子または標的完全性保護アルゴリズムの識別子に基づいてセキュリティ構成を生成して、セキュリティ構成を第2のサービス要求応答に追加する
ように構成される。
第10の態様に関して、第2の可能な実装形態において、指定されたセキュリティポリシーは鍵情報を含み、
実行ユニットは特に、
指定されたネットワークスライスの指定されたセキュリティポリシーにおいて指定される鍵長を決定し、鍵長に対応する鍵を生成し、鍵および指定されたネットワークスライスの識別子に基づいてセキュリティ構成を生成し、セキュリティ構成を第2のサービス要求応答に追加する
ように構成される。
第10の態様に関して、第3の可能な実装形態において、指定されたセキュリティポリシーは、暗号化アルゴリズム情報または完全性保護アルゴリズム情報を含み、
サービス要求はさらに、ユーザ機器UEのセキュリティ能力を搬送し、
実行ユニットは特に、
UEのセキュリティ能力、ANのセキュリティ能力、および指定されたセキュリティポリシーに含まれる暗号化アルゴリズム情報または完全性保護アルゴリズム情報に基づいて、標的暗号化アルゴリズムまたは標的完全性保護アルゴリズムを選択し、
暗号化アルゴリズムの識別子または完全性保護アルゴリズムの識別子に基づいてセキュリティ構成を生成して、セキュリティ構成を第2のサービス要求応答に追加する
ように構成される。
第10の態様の第1の可能な実装形態から第10の態様の第3の可能な実装形態のいずれか1つに関して、第4の可能な実装形態において、指定されたセキュリティポリシーに含まれる暗号化アルゴリズム情報は暗号化アルゴリズム選択優先順位であり、完全性保護アルゴリズム情報は完全性保護アルゴリズム選択優先順位であり、
標的暗号化アルゴリズムは、UEとANの両方によってサポートされる暗号化アルゴリズムの中で最高の選択優先順位を有する暗号化アルゴリズムであり、
標的完全性保護アルゴリズムは、UEとANの両方によってサポートされる完全性保護アルゴリズムの中で最高の選択優先順位を有する完全性保護アルゴリズムである。
第10の態様および第10の態様の第1の可能な実装形態から第4の可能な実装形態のいずれか1つに関して、第5の可能な実装形態において、実行ユニットは、認証ユニットAU、フロントエンド、およびアクセス制御エージェントACAのうちの少なくとも1つを含む。
第11の態様によれば、サイバーセキュリティ管理装置が提供され、この装置は、
ユーザ機器UEによって送信される第1のサービス要求を受信するように構成される受信ユニットであって、第1のサービス要求が、UEのセキュリティ能力と、UEがアタッチされるべき指定されたネットワークスライスの識別子とを搬送する、受信ユニットと、
受信ユニットによって受信される第1のサービス要求に基づいて第2のサービス要求を認証モジュールに送信するように構成される送信ユニットであって、第2のサービス要求が、UEがアタッチされるべき指定されたネットワークスライスの識別子と、ANのセキュリティ能力と、UEのセキュリティ能力とを搬送し、
受信ユニットがさらに、認証モジュールによって送信される第2のサービス要求応答を受信するように構成され、第2のサービス要求応答が、指定されたネットワークスライスの識別子、ANのセキュリティ能力、およびUEのセキュリティ能力に基づいて認証モジュールによって決定される第1のセキュリティ構成を搬送する、送信ユニットと、
受信ユニットによって受信される第1のセキュリティ構成に基づいて第2のセキュリティ構成を決定するように構成される処理ユニットと
を含むことがあり、
送信ユニットがさらに、第1のサービス要求応答をUEに送信するように構成され、第1のサービス要求応答が処理ユニットによって決定される第2のセキュリティ構成を搬送する。
第11の態様に関して、第1の可能な実装形態において、第1のセキュリティ構成は、鍵および暗号化アルゴリズムの識別子または完全性保護アルゴリズムの識別子を含み、
処理ユニットは特に、
鍵を記憶し、暗号化アルゴリズムの識別子または完全性保護アルゴリズムの識別子を第1のセキュリティ構成から取得し、暗号化アルゴリズムの識別子または完全性保護アルゴリズムの識別子に基づいて第2のセキュリティ構成を生成する
ように構成される。
第12の態様によれば、サイバーセキュリティ管理装置が提供され、この装置は、
ユーザ機器UEによって送信される第1のサービス要求を受信するように構成される受信ユニットであって、第1のサービス要求が、UEのセキュリティ能力と、UEがアタッチされるべき指定されたネットワークスライスの識別子とを搬送する、受信ユニットと、
受信ユニットによって受信される第1のサービス要求に基づいて第2のサービス要求を認証モジュールに送信するように構成される送信ユニットであって、第2のサービス要求が、UEがアタッチされるべき指定されたネットワークスライスの識別子を搬送し、
受信ユニットがさらに、認証モジュールによって送信される第2のサービス要求応答を受信するように構成される、送信ユニットと、
受信ユニットによって受信されるUEのセキュリティ能力および指定されたネットワークスライスの識別子に対応する指定されたセキュリティポリシーに基づいて第2のセキュリティ構成を決定するように構成される処理ユニットと
を含むことがあり、
送信ユニットがさらに、第1のサービス要求応答をUEに送信するように構成され、第1のサービス要求応答が処理ユニットによって決定される第2のセキュリティ構成を搬送する。
第12の態様に関して、第1の可能な実装形態において、処理ユニットは特に、
指定されたネットワークスライスの識別子に基づいて指定されたセキュリティポリシーを決定し、
ANのセキュリティ能力、UEのセキュリティ能力、および指定されたセキュリティポリシーに基づいて標的暗号化アルゴリズムまたは標的完全性保護アルゴリズムを選択し、標的暗号化アルゴリズムの識別子または標的完全性保護アルゴリズムの識別子に基づいて第2のセキュリティ構成を生成する
ように構成される。
第12の態様の第1の可能な実装形態に関して、第2の可能な実装形態において、指定されたセキュリティポリシーに含まれる暗号化アルゴリズム情報は暗号化アルゴリズム選択優先順位であり、完全性保護アルゴリズム情報は完全性保護アルゴリズム選択優先順位であり、
標的暗号化アルゴリズムは、UEとANの両方によってサポートされる暗号化アルゴリズムの中で最高の選択優先順位を有する暗号化アルゴリズムであり、
標的完全性保護アルゴリズムは、UEとANの両方によってサポートされる完全性保護アルゴリズムの中で最高の選択優先順位を有する完全性保護アルゴリズムである。
第13の態様によれば、ネットワーク機能選択モジュールが提供され、ネットワーク機能選択モジュールはメモリおよびプロセッサを含むことがあり、メモリはプロセッサに接続され、
メモリはプログラムコードのセットを記憶するように構成され、
プロセッサは、メモリに記憶されているプログラムコードを呼び出し、第4の態様において提供されるサイバーセキュリティ管理方法を実行するように構成される。
第14の態様によれば、ネットワーク機能選択モジュールが提供され、ネットワーク機能選択モジュールはメモリおよびプロセッサを含むことがあり、メモリはプロセッサに接続され、
メモリはプログラムコードのセットを記憶するように構成され、
プロセッサは、メモリに記憶されているプログラムコードを呼び出し、第5の態様において提供されるサイバーセキュリティ管理方法を実行するように構成される。
第15の態様によれば、認証モジュールが提供され、認証モジュールはメモリおよびプロセッサを含むことがあり、メモリはプロセッサに接続され、
メモリはプログラムコードのセットを記憶するように構成され、
プロセッサは、メモリに記憶されているプログラムコードを呼び出し、第6の態様において提供されるサイバーセキュリティ管理方法を実行するように構成される。
第16の態様によれば、アクセスネットワークが提供され、アクセスネットワークはメモリおよびプロセッサを含むことがあり、メモリはプロセッサに接続され、
メモリはプログラムコードのセットを記憶するように構成され、
プロセッサは、メモリに記憶されているプログラムコードを呼び出し、第7の態様において提供されるサイバーセキュリティ管理方法を実行するように構成される。
第17の態様によれば、ネットワーク機能選択モジュールが提供され、ネットワーク機能選択モジュールはメモリおよびプロセッサを含むことがあり、メモリはプロセッサに接続され、
メモリはプログラムコードのセットを記憶するように構成され、
プロセッサは、メモリに記憶されているプログラムコードを呼び出し、第8の態様において提供されるサイバーセキュリティ管理方法を実行するように構成される。
本発明は、サイバーセキュリティ管理システム、方法、および装置を開示するということが、上記から知られ得る。システムは、UEと、ANと、ネットワーク機能選択モジュールと、少なくとも2つの認証モジュールとを含む。UEは第1のサービス要求をネットワーク機能選択モジュールに送信するように構成され、第1のサービス要求は認証プロトコル情報を搬送する。ネットワーク機能選択モジュールは、認証プロトコル情報に基づいて標的認証モジュールを選択し、第2のサービス要求を標的認証モジュールに送信するように構成される。標的認証モジュールは、UEとの相互認証を実行するように構成される。標的認証モジュールはさらに、指定されたセキュリティポリシーに従って第1のセキュリティ構成を決定し、第1のセキュリティ構成をANに送信するように構成される。ANは、第1のセキュリティ構成または指定されたセキュリティポリシーに基づいて第2のセキュリティ構成を決定し、第2のセキュリティ構成をUEに送信するように構成される。本発明において提供される技術的な解決法によれば、ネットワークの差別的な認証プロトコルおよびセキュリティポリシーセキュリティ要件が満たされることが可能であり、これによりサイバーセキュリティを改善する。
本発明の実施形態または従来技術における技術的な解決法をより明確に説明するために、以下は、実施形態または従来技術を説明するために必要とされる添付の図面を簡単に説明する。明らかに、以下の説明における添付の図面は本発明のいくつかの実施形態を示すだけであり、当業者はそれでも、これらの添付の図面から創造的な努力なしで他の図面を導き出し得る。
4G専用コアネットワークの概略アーキテクチャ図である。 本発明の実施形態による、5Gネットワークスライスの概略アーキテクチャ図である。 本発明の実施形態による、サイバーセキュリティ管理システムの概略構造図である。 本発明の実施形態による、管理システムの中の機能モジュールによってサイバーセキュリティ管理を実施する概略対話図である。 本発明の実施形態による、管理システムによってAU選択を実施する概略対話図である。 本発明の実施形態による、管理システムによってAU選択を実施する別の概略対話図である。 本発明の実施形態による、管理システムによってAU選択を実施する別の概略対話図である。 本発明の実施形態による、管理システムによってセキュリティポリシーを実行する概略対話図である。 本発明の実施形態による、管理システムによってセキュリティポリシーを実行する別の概略対話図である。 本発明の実施形態による、管理システムによってサイバーセキュリティ管理を実行する概略対話図である。 本発明の実施形態による、管理システムによってサイバーセキュリティ管理を実行する概略対話図である。 本発明の実施形態による、管理システムによってサイバーセキュリティ管理を実行する概略対話図である。 本発明の実施形態による、管理システムによってサイバーセキュリティ管理を実行する別の概略対話図である。 本発明の実施形態による、管理システムによってサイバーセキュリティ管理を実行する別の概略対話図である。 本発明の実施形態による、管理システムによってサイバーセキュリティ管理を実行する別の概略対話図である。 本発明の実施形態による、管理システムによってサイバーセキュリティ管理を実行する別の概略対話図である。 本発明の実施形態による、サイバーセキュリティ管理システムの別の概略構造図である。 本発明の実施形態による、管理システムの中の機能モジュールによってサイバーセキュリティ管理を実施する概略対話図である。 本発明の実施形態による、サイバーセキュリティ管理システムの別の概略構造図である。 本発明の実施形態による、管理システムの中の機能モジュールによってサイバーセキュリティ管理を実施する別の概略対話図である。 本発明の実施形態による、サイバーセキュリティ管理方法の概略フローチャートである。 本発明の実施形態による、サイバーセキュリティ管理方法の別の概略フローチャートである。 本発明の実施形態による、サイバーセキュリティ管理方法の別の概略フローチャートである。 本発明の実施形態による、サイバーセキュリティ管理方法の別の概略フローチャートである。 本発明の実施形態による、サイバーセキュリティ管理方法の別の概略フローチャートである。 本発明の実施形態による、サイバーセキュリティ管理装置の概略構造図である。 本発明の実施形態による、サイバーセキュリティ管理装置の別の概略構造図である。 本発明の実施形態による、サイバーセキュリティ管理装置の別の概略構造図である。 本発明の実施形態による、サイバーセキュリティ管理装置の別の概略構造図である。
以下は、本発明の実施形態における添付の図面を参照して、本発明の実施形態における技術的な解決法を明確かつ完全に説明する。明らかに、説明される実施形態は、本発明の実施形態のすべてではなく一部にすぎない。本発明の実施形態に基づいて創造的な努力を伴わずに当業者により得られるすべての他の実施形態が、本発明の保護範囲内にあるものとする。
図2は、本発明の実施形態による、5Gネットワークスライスの概略アーキテクチャ図である。図2に示されるように、5Gネットワークスライス(略してスライス)のアーキテクチャでは、すべてのスライスがアクセスネットワーク((英語:Access Network,AN)または(英語:Radio Access Network,RAN)、以下は説明のために例としてANを使用する)およびスライス選択機能(英語:Slice Selection Function,SSF)を共有する。一部のスライスは1つの制御プレーン(英語:Control Plane,CP)ネットワーク機能(英語:Network Function,NF)を共有し、CP NFは一部のスライスに専用である。たとえば、スライスAおよびスライスBは1つのCP NF1を共有し、言い換えると、スライスAのCP NFおよびスライスBのCP NFは同じCP NFである。CP NF2はスライスCに専用である。各スライスはさらに、ユーザプレーン(英語:User Plane,UP)NFを含む。各CP NFは1つのAUを含み、複数のスライスによって共有されるCP NFに含まれるAUは複数のスライスにサービスし、1つのスライスに専用のCP NFの中のAUはそのスライスだけにサービスする。たとえば、CP NF1に含まれるAU1はスライスAおよびスライスBにサービスし、CP NF2に含まれるAU2はスライスCにサービスする。
従来技術では、UEのためのAUを選択するとき、ネットワークは、UEがアタッチされるべきスライスにどのAUがサービスするかを考慮することがあり、次いで、UEにサービスするためのAUを選択することがある。さらに、UEがアタッチされるべきスライスが複数のAUによってサービスされる場合、AUのうちの1つが、UEにサービスするために、複数のAUの各々の負荷状態に基づいて選択され得る。従来技術では、AU選択の間、UEによってサポートされる認証プロトコルまたはアルゴリズムなどの情報が考慮されず、関連する設計の欠如があり、AU選択の低い精度および低い選択効率を招く。その結果、サイバーセキュリティがより良く保証されることが可能ではない。
本発明の実施形態において提供されるAU選択解決法では、UEにサービスするAUは、UEによってサポートされる認証プロトコルに従って選択されることがあり、または、UEにサービスするAUは、UEによってサポートされる認証プロトコル、またはUEがアタッチされるべきスライスおよび被選択候補のAUの負荷状態などの情報に従って選択されることがあり、これによりAU選択精度を改善する。さらに、UEのアタッチ要求または新しいサービス要求、スライスセキュリティポリシーなどが、選択されたAUを使用することによって実行されることがあり、これによりサイバーセキュリティを改善する。図3から図27を参照して、以下は、本発明の実施形態において提供されるサイバーセキュリティ管理システム、方法、および装置を説明する。
図3は、本発明の実施形態による、サイバーセキュリティ管理システムの概略構造図である。本発明のこの実施形態において提供される管理システムは、図2に示されるネットワークアーキテクチャのセキュリティ管理を実施するように構成され得る。言い換えると、本発明のこの実施形態において提供される管理システムは、複数のネットワークスライスを含むネットワークのセキュリティ管理を実施するように構成され得る。本発明のこの実施形態において提供される管理システムは、UEと、ANと、ネットワーク機能選択モジュールと、少なくとも2つの認証モジュールとを含み得る。少なくとも2つの認証モジュールは、複数のスライスによって共有される認証モジュールを含み、単一のスライスに専用の認証モジュールも含む。あるいは、少なくとも2つの認証モジュールの各々が、複数のスライスによって共有される認証モジュールであり、または、単一のスライスに専用の認証モジュールであり得る。複数の共有される認証モジュールがあることがあり、各々の共有される認証モジュールが少なくとも2つのスライスにサービスする。複数の専用の認証モジュールがあることもあり、各々の専用の認証モジュールが1つのスライスにサービスする。特定の実装形態では、認証モジュールの量および認証モジュールによってサービスされるスライスの分布状態が、実際の適用シナリオに基づいて決定されることがあり、これは本明細書では限定されない。
本発明のこの実施形態では、ネットワーク機能選択モジュールは、AU選択機能(英語:AU Selection Function,AUSF)、AUルーティング機能(英語:AU Routing Function,AURF)、SSF、モビリティ管理(英語:Mobility Management,MM)などを含み得る。詳細は、実際の適用シナリオに基づいて決定されることがあり、本明細書では限定されない。
本発明のこの実施形態では、認証モジュールは、AU、フロントエンド、アクセス制御エージェント(英語:Access Control Agent,ACA)などを含み得る。詳細は、実際の適用シナリオに基づいて決定されることがあり、本明細書では限定されない。
図4は、本発明の実施形態による、管理システムの中の機能モジュール(UE、AN、ネットワーク機能選択モジュール、および認証モジュールを含む)によってサイバーセキュリティ管理を実施する概略対話図である。図3に示されるシステムがサイバーセキュリティ管理を実施する処理は、以下のステップを含み得る。
401.UEが第1のサービス要求をネットワーク機能選択モジュールに送信する。
いくつかの実現可能な実装形態において、第1のサービス要求は具体的には、スライスにアタッチされるようにUEが要求するアタッチ要求であり得る。あるいは、第1のサービス要求は、UEがスライスにアタッチされていて、新しいサービス要求を使用することによって別のスライスにアタッチされることを期待するときにUEによって送信される新しいサービス要求であり得る。アタッチ要求または新しいサービス要求は認証プロトコル情報を搬送する。認証プロトコル情報は、UEによってサポートされる1つまたは複数の認証プロトコルの識別子、またはUEによってサポートされる複数の認証プロトコルの各々の選択優先順位などの情報を含む。アタッチ要求または新しいサービス要求はまた、UEがアタッチされるべきスライスの識別子などを搬送し得る。詳細は、実際の適用シナリオに基づいて決定されることがあり、本明細書では限定されない。第1のサービス要求のタイプおよび第1のサービス要求において搬送される認証プロトコル情報は特に、実際の適用シナリオに基づいて決定されることがあり、本明細書では限定されない。
402.ネットワーク機能選択モジュールは、認証プロトコル情報に基づいて、少なくとも2つの認証モジュールから標的認証モジュールを選択する。
403.ネットワーク機能選択モジュールが、第2のサービス要求を標的認証モジュールに送信する。
いくつかの実現可能な実装形態において、UEによって送信される第1のサービス要求を受信した後で、ネットワーク機能選択モジュールは、第1のサービス要求において搬送される認証プロトコル情報に基づいて少なくとも2つの認証モジュールから標的認証モジュールを選択し得る。特定の実装形態では、認証プロトコル情報がUEによってサポートされる1つの認証プロトコル(たとえば、第1の認証プロトコル)の識別子を搬送する場合、ネットワーク機能選択モジュールは、第1の認証プロトコルの識別子に基づいて、第1の認証プロトコルをサポートする認証モジュールを、複数の認証モジュールから標的認証モジュールとして選択し得る。1つより多くの認証モジュールが第1の認証プロトコルをサポートする場合、ネットワーク機能選択モジュールは、各認証モジュールの負荷状態に基づいて、最も負荷の小さい認証モジュールを認証モジュールから標的認証モジュールとして選択し得る。
さらに、第1のサービス要求が、UEがアタッチされるべきスライス(すなわち、指定されるネットワークスライス)の識別子を搬送する場合、ネットワーク機能選択モジュールは、第1の認証プロトコルの識別子および指定されたネットワークスライスの識別子に基づいて、ネットワークに含まれる少なくとも2つの認証モジュールから標的認証モジュールを選択し得る。標的認証モジュールは、第1の認証プロトコルおよび指定されたネットワークスライスをサポートする認証モジュールである。具体的には、ネットワーク機能選択モジュールはまず、第1の認証プロトコルの識別子に基づいて、複数の認証モジュールから第1の認証プロトコルをサポートする認証モジュールを選択し得る。1つより多くの認証モジュールが第1の認証プロトコルをサポートする場合、ネットワーク機能選択モジュールは、指定されたネットワークスライスの識別子に基づいて、UEがアタッチされるべきスライスと関連付けられる認証モジュールを、第1の認証プロトコルをサポートする複数の認証モジュールから標的認証モジュールとして選択し得る。UEがアタッチされるべきスライスと関連付けられる認証モジュールは、そのスライスにサービスする認証モジュールであり得る。加えて、あるいは、ネットワーク機能選択モジュールはまず、指定されたネットワークスライスの識別子に基づいて、複数の認証モジュールから指定されたネットワークスライスをサポートする認証モジュールを選択し得る。1つより多くの認証モジュールが指定されたネットワークスライスをサポートする場合、ネットワーク機能選択モジュールは、第1の認証プロトコルに従って、第1の認証プロトコルをサポートする認証モジュールを、指定されたネットワークスライスをサポートする複数の認証モジュールから標的認証モジュールとして選択し得る。さらに、あるいは、ネットワーク機能選択モジュールは、第1の認証プロトコルの識別子および指定されたネットワークスライスの識別子に基づいて、複数の認証モジュールから同時に標的認証モジュールを選択し得る。特定の選択処理における認証モジュール選別方式は、実際の適用シナリオに基づいて決定されることがあり、本明細書では限定されない。
さらに、いくつかの実現可能な実装形態において、1つより多くの標的認証モジュールは、第1の認証プロトコルの識別子に基づいて、または第1の認証プロトコルの識別子および指定されたネットワークスライスの識別子に基づいて選択され、ネットワーク機能選択モジュールは、各々の選択された被選択候補の標的認証モジュールの負荷状態に基づいて最終的に選択される標的認証モジュールとして、複数の選択された被選択候補の標的認証モジュールから最も負荷の小さい認証モジュールを選択し得る。
いくつかの実現可能な実装形態において、認証プロトコル情報がUEによってサポートされる複数の認証プロトコル(各認証プロトコルはたとえば、第2の認証プロトコルである)の識別子を搬送する場合、ネットワーク機能選択モジュールは、UEによってサポートされる第2の認証プロトコルの識別子に基づいて、標的認証モジュールをネットワークに含まれる複数の認証モジュールから選択し得る。特定の実装形態では、システムに含まれる複数の認証モジュールのうちの1つだけがUEによってサポートされる認証プロトコルをサポートする場合、その認証モジュールが標的認証モジュールとして決定され得る。ネットワークに含まれる複数の認証モジュールがUEによってサポートされる認証プロトコルのうちの1つをサポートする複数の認証モジュールを含む場合、最も負荷の小さい認証モジュールが、認証プロトコルをサポートする複数の認証モジュールから標的認証モジュールとして選択され得る。ネットワークに含まれる複数の認証モジュールが異なる認証プロトコルをサポートする複数の異なる認証モジュールを含む場合、ネットワーク機能選択モジュールは、各認証プロトコルの選択優先順位または各認証モジュールの負荷状態に基づいて、複数の異なる認証モジュールから標的認証モジュールを選択する。
いくつかの実現可能な実装形態において、ネットワークに含まれる複数の認証モジュールが異なる認証プロトコルをサポートする複数の異なる認証モジュールを含む場合、ネットワーク機能選択モジュールは、ネットワークにおいて設定される認証プロトコル選択優先順位に基づいて、UEによってサポートされる複数の認証プロトコルから最も高い選択優先順位を有する認証プロトコルを決定することがあり、次いで、最も高い選択優先順位を有する認証プロトコルをサポートする被選択候補の認証モジュールを、異なる認証プロトコルをサポートする複数の異なる認証モジュールから標的認証モジュールとして選択することがある。1つより多くの被選択候補の認証モジュールが最高の選択優先順位を有する認証プロトコルをサポートする場合、各々の被選択候補の認証モジュールの負荷状態に基づいて、最も負荷の小さい認証モジュールが、認証モジュールから標的認証モジュールとして選択され得る。
いくつかの実現可能な実装形態において、ネットワークに含まれる複数の認証モジュールが異なる認証プロトコルをサポートする複数の異なる認証モジュールを含む場合、ネットワーク機能選択モジュールは直接、各認証モジュールの負荷状態に基づいて、最も負荷の小さい認証モジュールを認証モジュールから標的認証モジュールとして選択し得る。
さらに、いくつかの実現可能な実装形態において、第1のサービス要求において搬送される認証プロトコル情報は、UEによってサポートされる複数の認証プロトコルの識別子(各認証プロトコルはたとえば、第3の認証プロトコルであり得る)および各々の第3の認証プロトコルの選択優先順位を含み得る。ネットワーク機能選択モジュールは、UEによってサポートされる第3の認証プロトコルの識別子に基づいて、システムに含まれる複数の認証モジュールから標的認証モジュールを選択し得る。特定の実装形態では、システムに含まれる複数の認証モジュールのうちの1つだけがUEによってサポートされる認証プロトコルをサポートする場合、その認証モジュールが標的認証モジュールとして決定され得る。システムに含まれる複数の認証モジュールがUEによってサポートされる第3の認証プロトコルのうちの1つをサポートする複数の認証モジュールを含む場合、最も負荷の小さい認証モジュールが、第3の認証プロトコルをサポートする複数の認証モジュールから標的認証モジュールとして選択され得る。システムに含まれる複数の認証モジュールが異なる第3の認証プロトコルをサポートする複数の異なる認証モジュールを含む場合、ネットワーク機能選択モジュールは、各認証モジュールの負荷状態に基づいて、最も負荷の小さい認証モジュールを認証モジュールから標的認証モジュールとして選択し得る。
さらに、システムに含まれる複数の認証モジュールが異なる第3の認証プロトコルをサポートする複数の異なる認証モジュールを含む場合、ネットワーク機能選択モジュールはさらに、各々の第3の認証プロトコルの選択優先順位に基づいて、最高の選択優先順位を有する認証プロトコル(たとえば、第4の認証プロトコル)をサポートする認証モジュールを、異なる第3の認証プロトコルをサポートする複数の異なる認証モジュールから標的認証モジュールとして選択し得る。1つより多くの認証モジュールが第4の認証プロトコルをサポートする場合、ネットワーク機能選択モジュールは、各認証モジュールの負荷状態に基づいて、最も負荷の小さい認証モジュールを認証モジュールから標的認証モジュールとして選択し得る。
さらに、いくつかの実現可能な実装形態において、第1のサービス要求は、UEがアタッチされるべきスライスの識別子に加えて、より多くのスライス情報を搬送することがあり、スライス情報は特に、スライスタイプ、スライスによってサポートされるサービスタイプ、スライステナント識別子などを含み得る。認証プロトコル情報に基づいて標的認証モジュールを選択する処理において、ネットワーク機能選択モジュールはまた、スライス情報に関する網羅的な選択を実行することがあり、これは本明細書では限定されない。
いくつかの実現可能な実装形態において、標的認証モジュールを選択した後で、ネットワーク機能選択モジュールは、第2のサービス要求を標的認証モジュールに送信し得る。それに対応して、第2のサービス要求はまた、アタッチ要求または新しいサービス要求であり得る。特定の実装形態では、標的認証モジュールが1つだけの認証プロトコルをサポートする場合、標的認証モジュールに送信される第2のサービス要求は、認証プロトコル情報を搬送する必要がなく、UEの識別子、UEがアタッチされるべきスライスについての情報などを搬送することがある。標的認証モジュールが複数の認証プロトコルをサポートし得る場合、第2のサービス要求は、UEと標的認証モジュールの両方によってサポートされる認証プロトコルのものであり標的認証モジュールの選択の間に使用される識別子を搬送し得る。任意選択で、第2のサービス要求は、UEの識別子、UEがアタッチされるべきスライスについての情報などを搬送することがあり、これは本明細書では限定されない。
404.標的認証モジュールが、第2のサービス要求を受信し、UEとの相互認証を実行する。
いくつかの実現可能な実装形態において、標的認証モジュールが1つだけの認証プロトコルをサポートする場合、標的認証モジュールは直接、認証プロトコルを使用することによってUEと相互認証を実行し得る。標的認証モジュールが複数の認証プロトコルをサポートし得る場合、標的認証モジュールは、ネットワーク機能選択モジュールによって送信される第2のサービス要求を受信し、UEと標的認証モジュールの両方によってサポートされ第2のサービス要求において搬送される認証プロトコルに従って、UEとの相互認証を実行し得る。特定の実装形態では、第2のサービス要求はさらに、UEの識別子、たとえばUEの識別子(英語:Identity,ID)を搬送することがあり、これは本明細書では限定されない。UEのIDまたはスライス情報を使用することによってUEとの相互認証を認証モジュールが実施する実装形態については、5Gフレームワークにおけるシステム対話の既存の実装形態を参照されたい。詳細は本明細書では説明されない。
本発明のこの実施形態では、ネットワーク機能選択モジュールが、UEによってサポートされる認証プロトコルについての情報に基づいて、UEによってサポートされる認証プロトコルをサポートする認証モジュールを選択することがあり、次いで、認証モジュールが、UEとの相互認証を実行することがあり、これにより、認証モジュール選択精度およびサイバーセキュリティを改善する。
図5から図7を参照すると、以下は、本発明のこの実施形態において提供される管理システムが様々な適用シナリオにおいて認証モジュール選択を実施する、実装形態を説明する。
いくつかの実現可能な実装形態において、図5は、本発明の実施形態による、管理システムによってAU選択を実施する概略対話図である。図5において、AURFが説明のためにネットワーク機能選択モジュールの例として使用され、AUが説明のために認証モジュールの例として使用され、アタッチ要求が説明のために第1のサービス要求の例として使用される。図5に示される管理システムにおいて提供されるAU選択処理は、以下のステップを含む。
501.UEがアタッチ要求をAURFに送信する。
いくつかの実現可能な実装形態において、UEは1つだけの認証プロトコルをサポートし、UEによってAURFに送信されるアタッチ要求はUEによってサポートされる認証プロトコルの識別子を搬送し得る。アタッチ要求はさらに、UEのID、スライス情報などを搬送し得る。スライス情報は、スライスタイプ、スライスによってサポートされるサービスタイプ、スライステナント識別子などを含むことがあり、これは本明細書では限定されない。
502.AURFが、アタッチ要求において搬送される認証プロトコル識別子などの情報に基づいて標的AUを選択する。
いくつかの実現可能な実装形態において、UEによって送信されるアタッチ要求を受信した後で、AURFは、アタッチ要求において搬送される認証プロトコル識別子に基づいて標的AUを選択することがあり、または、アタッチ要求において搬送されるスライス情報もしくはシステムの中の被選択候補のAUの各々の負荷状態を参照して標的AUを選択することがある。具体的な選択方式については、ステップS402において説明される実装形態を参照されたい。詳細は本明細書では再び説明されない。
503.AURFがアタッチ要求を標的AUに送信する。
いくつかの実現可能な実装形態において、標的AUを決定した後、AURFはアタッチ要求を標的AUに送信し得る。任意選択で、標的AUが複数の認証プロトコルをサポートし得る場合、AURFは、UEによってサポートされる認証プロトコルの識別子をアタッチ要求に追加し得るので、標的AUはUEとの相互認証を実行することができる。アタッチ要求はさらに、UEのID、スライス情報などを搬送し得る。詳細については、ステップS402において説明される実装形態を参照されたい。これは本明細書では限定されない。
504.AUがUEとの相互認証を実行する。
いくつかの実現可能な実装形態において、AURFによって送信されるアタッチ要求を受信した後で、AUはUEとの相互認証を実行し得る。AUが複数の認証プロトコルをサポートする場合、AUは、アタッチ要求に従って、UEによってサポートされる認証プロトコルを決定し、認証プロトコルを使用することによってUEとの相互認証を実行し得る。AUが認証プロトコルを使用することによってUEとの相互認証を実行する具体的な実装形態については、既存の5Gネットワークシステムにおいて提供される実装形態を参照されたい。詳細は本明細書では説明されない。
本発明のこの実施形態では、AURFは、UEによってサポートされる認証プロトコルに従って標的AUを選択することがあり、それにより、AU選択精度、AU選択効率、およびサイバーセキュリティを改善する。
いくつかの実現可能な実装形態において、図6は、本発明の実施形態による、管理システムによってAU選択を実施する別の概略対話図である。図6において、AURFが説明のためにネットワーク機能選択モジュールの例として使用され、AUが説明のために認証モジュールの例として使用され、アタッチ要求が説明のために第1のサービス要求の例として使用される。図6に示される管理システムにおいて提供されるAU選択処理は、以下のステップを含む。
601.UEがアタッチ要求をAURFに送信する。
いくつかの実現可能な実装形態において、UEによってAURFに送信されるアタッチ要求は、UEによって使用されるべき認証プロトコルに対する選好を搬送し得る。認証プロトコルに対する選好は、UEによってサポートされる複数の認証プロトコルの識別子、およびUEによって好まれる認証プロトコルの選択優先順位のインジケーション情報を含む。UEによって好まれる認証プロトコルの選択優先順位のインジケーション情報は、具体的には、UEによってサポートされる複数の認証プロトコルの各々の選択優先順位であり得る。アタッチ要求はさらに、UEのID、スライス情報などを搬送し得る。これは本明細書では限定されない。
602.AURFが、アタッチ要求において搬送される認証プロトコルに対する選好などの情報に基づいて標的AUを選択する。
いくつかの実現可能な実装形態において、UEによって送信されるアタッチ要求を受信した後で、AURFは、アタッチ要求において搬送される認証プロトコル識別子または選択優先順位などの情報に基づいて、標的AUを選択し得る。さらに、AURFは、アタッチ要求において搬送されるスライス情報およびネットワークの中の被選択候補のAUの各々の負荷状態に基づいて、標的AUを選択し得る。具体的な選択方式については、ステップS402において説明される実装形態を参照されたい。詳細は本明細書では再び説明されない。
さらに、いくつかの実現可能な実装形態において、アタッチ要求が複数の認証プロトコルの識別子を搬送する場合、AURFは、各認証プロトコルのものでありネットワークにおいて複数のAUによってサポートされる認証プロトコルに関して設定される、選択優先順位に基づいて、被選択候補のAUから標的AUを選択し得る。具体的な選択方式については、ステップS402において説明される実装形態を参照されたい。詳細は本明細書では再び説明されない。
603.AURFがAU選択肯定応答メッセージをUEに送信する。
いくつかの実現可能な実装形態において、UEが複数の認証プロトコルをサポートする場合、AURFが、UEによってサポートされる認証プロトコル、各AUによってサポートされる認証プロトコル、各AUの負荷状態、およびスライス情報などの情報に基づいて標的AUを選択した後で、AURFは、肯定応答メッセージを使用することによって、選択された標的AUによってサポートされる認証プロトコルの識別子をUEに送信し得る。肯定応答メッセージを受信した後で、UEは、肯定応答メッセージにおいて搬送される認証プロトコル識別子に基づいて、AURFが標的AUを選択するときに使用される認証プロトコル、すなわちUEとAUの両方によってサポートされる認証プロトコルを決定し得る。
特定の実装形態では、AURFによってUEに送信される肯定応答メッセージの動作方式は、任意選択の実装形態であり、実際の適用シナリオに基づいて具体的に決定されることがあることに留意されたい。具体的に、あるいは、AURFが標的AUを選択するときに使用される認証プロトコルを学習するために、UEは、AUがUEとの認証を実行するときにAUによって送信される第1のメッセージにおいて搬送されるインジケーション情報を使用することによって認証プロトコルを決定し得る。インジケーション情報の具体的な形式は、実際の適用シナリオに基づいて決定され得る。これは本明細書では限定されない。
604.AURFがアタッチ要求を標的AUに送信する。
いくつかの実現可能な実装形態において、標的AUを決定した後で、AURFは、認証プロトコル識別子をアタッチ要求に追加し、アタッチ要求を標的AUに送信し得るので、標的AUはUEとの相互認証を実行する。アタッチ要求において搬送される認証プロトコル識別子は、UEによってサポートされる複数の認証プロトコルのうちの1つのものでありAURFが標的AUを選択するときに使用される識別子であり、認証プロトコルを使用することによってUEとの相互認証を実行するようにAUに指示するために使用される。アタッチ要求はさらに、UEのID、スライス情報などを搬送し得る。これは本明細書では限定されない。
605.AUがUEとの相互認証を実行する。
いくつかの実現可能な実装形態において、AURFによって送信されるアタッチ要求を受信した後で、AUはUEとの相互認証を実行し得る。AUが複数の認証プロトコルをサポートする場合、AUは、アタッチ要求に従って、UEによってサポートされる認証プロトコルを決定し、認証プロトコルを使用することによってUEとの相互認証を実行し得る。AUが認証プロトコルを使用することによってUEとの相互認証を実行する具体的な実装形態については、既存の5Gネットワークシステムにおいて提供される実装形態を参照されたい。詳細は本明細書では説明されない。
本発明のこの実施形態では、AURFは、UEによってサポートされる複数の認証プロトコル、認証プロトコルの各々の選択優先順位、ネットワークにおいて設定される認証プロトコル選択優先順位、スライス情報、AU負荷などに基づいて標的AUを選択することがあり、それにより、AU選択柔軟性、AU選択精度、AU選択効率、およびサイバーセキュリティを改善する。
いくつかの実現可能な実装形態において、図7は、本発明の実施形態による、管理システムによってAU選択を実施する別の概略対話図である。図7では、ネットワーク機能選択モジュールは第1のサブモジュールおよび第2のサブモジュールを含み得る。AURFが説明のために第1のサブモジュールの例として使用され、AUSFが説明のために第2のサブモジュールの例として使用され、AUが説明のために認証モジュールの例として使用され、アタッチ要求が説明のために第1のサービス要求の例として使用される。図7に示される管理システムにおいて提供されるAU選択処理は、以下のステップを含む。
701.UEがアタッチ要求をAURFに送信する。
いくつかの実現可能な実装形態において、UEによってAURFに送信されるアタッチ要求は、認証プロトコル情報を搬送し得る。認証プロトコル情報は、UEによってサポートされる単一の認証プロトコルの識別子を含むことがあり、または、UEによってサポートされる複数の認証プロトコルの識別子と、UEによってサポートされる認証プロトコルの選択優先順位のインジケーション情報などの情報とを含むことがある。UEによってサポートされる認証プロトコルの選択優先順位のインジケーション情報は、具体的には、UEによってサポートされる複数の認証プロトコルの各々の選択優先順位であり得る。アタッチ要求はさらに、UEのID、スライス情報などを搬送し得る。これは本明細書では限定されない。詳細については、ステップS401において説明される実装形態を参照されたい。詳細は本明細書では再び説明されない。
702.UEによって送信されるアタッチ要求を受信した後で、AURFがAUを選択するようにAUSFに要求する。
いくつかの実現可能な実装形態において、UEによって送信されるアタッチ要求を受信した後で、AURFはAURFと関連付けられるAUSFにAU選択要求を送信し得る。5Gネットワークでは、1つのAUSFが複数のAURFにサービスすることがあり、AUSFがAUを選択するために使用される。AUがネットワークにおいて1だけ増大させられるとき、または減少させられるとき、ネットワークは、AU増大または減少メッセージをAUSFに通知することだけが必要である。AURFがAUを管理する場合、ネットワークは、AU増大または減少メッセージを各AURFに通知することが必要である。1つのAUSFが複数のAURFを管理し得るので、AU増大または減少メッセージを各AUSFに通知することは、AU増大または減少メッセージを各AURFに直接通知するよりも少量のシグナリングを占有するので、ネットワークの処理効率がより高い。
703.AUSFが認証プロトコル情報に基づいて標的AUを選択する。
いくつかの実現可能な実装形態において、AURFによって送信されるAU選択要求を受信した後で、AUSFは、AU選択要求において搬送される認証プロトコル識別子、選択優先順位、スライス情報などに基づいて、標的AUを選択し得る。さらに、AURFは、ネットワークの中の被選択候補のAUの各々の負荷状態に基づいて、標的AUを選択し得る。AUSFによってAUを選択する特定の実装形態では、ステップS402において説明されるネットワーク機能モジュールによってAUを選択する実装形態を参照されたい。詳細は本明細書で再び説明されない。図7に示されるシステム構造では、AUはAUSFによって選択されることがあり、AURFはアタッチメッセージを送信するように構成されることがある。
704.AUSFが選択された標的AUの識別子をAURFに送信する。
いくつかの実現可能な実装形態において、標的AUを選択した後で、AUSFは、AURFを使用することによってUEのアタッチメッセージを標的AUに送信するために、選択された標的AUの識別子をAURFに送信し得る。
705.AURFがアタッチ要求を標的AUに送信する。
いくつかの実現可能な実装形態において、AUSFによって送信される標的AUの識別子に基づいて標的AUを決定した後で、AURFは、認証プロトコル識別子をアタッチ要求に追加し、アタッチ要求を標的AUに送信し得るので、標的AUはUEとの相互認証を実行する。アタッチ要求において搬送される認証プロトコル識別子は、UEによってサポートされる複数の認証プロトコルのうちの1つのものでありAUSFが標的AUを選択するときに使用される識別子であり、認証プロトコルを使用することによってUEとの相互認証を実行するようにAUに指示するために使用される。アタッチ要求はさらに、UEのID、スライス情報などを搬送し得る。これは本明細書では限定されない。
706.AUがUEとの相互認証を実行する。
いくつかの実現可能な実装形態において、AURFによって送信されるアタッチ要求を受信した後で、AUはUEとの相互認証を実行し得る。AUが複数の認証プロトコルをサポートする場合、AUは、アタッチ要求に従って、UEによってサポートされる認証プロトコルを決定し、認証プロトコルを使用することによってUEとの相互認証を実行し得る。AUが認証プロトコルを使用することによってUEとの相互認証を実行する具体的な実装形態については、既存の5Gネットワークシステムにおいて提供される実装形態を参照されたい。詳細は本明細書では説明されない。
本発明のこの実施形態では、AURFは、UEによってサポートされる複数の認証プロトコル、認証プロトコルの各々の選択優先順位、ネットワークにおいて設定される認証プロトコル選択優先順位、スライス情報、AU負荷などに基づいて標的AUを選択するようにAUSFに要求することがあり、それにより、AU選択柔軟性を改善し、ネットワークのシグナリングオーバーヘッドを減らし、AU選択精度、ネットワークの実行効率、およびサイバーセキュリティを改善する。
405.標的認証モジュールが、UEがアタッチされるべき指定されたネットワークスライスの指定されたセキュリティポリシーに従って、第1のセキュリティ構成を決定する。
406.標的認証モジュールが第2のサービス要求応答をANに送信する。
407.ANが第1のセキュリティ構成または指定されたセキュリティポリシーに基づいて第2のセキュリティ構成を決定する。
408.ANが第1のサービス要求応答をUEに送信する。
いくつかの実現可能な実装形態において、本発明のこの実施形態において提供される管理システムは、セキュリティポリシーコントローラをさらに含み得る。セキュリティポリシーコントローラは、システムに含まれる各ネットワークスライスのセキュリティポリシーを認証モジュールまたはANに配信するように構成される。特定の実装形態では、本発明のこの実施形態において提供される管理システムにおいて、UEがアタッチされるべきスライスのセキュリティポリシーは標的認証モジュールによって実行されることがあり、または、UEがアタッチされるべきスライスのセキュリティポリシーは標的認証モジュールおよびANによって共同で実行されることがある。特定の実装形態では、ネットワークスライスセキュリティポリシーは、UEとANとの間のシグナリングに対する鍵の長さを指定することがあり、暗号化アルゴリズム選択優先順位、完全性保護アルゴリズム選択優先順位、および鍵の使用範囲などの情報をさらに指定することがある。鍵の使用範囲は、鍵の使用時間長、鍵を使用することによって暗号化され得るデータパケットの量など含み得る。
いくつかの実現可能な実装形態において、UEがアタッチされるべきスライスのセキュリティポリシーが標的認証モジュールによって実行される場合、セキュリティポリシーコントローラは、システムの中の1つまたは複数のネットワークスライスのセキュリティポリシーを標的認証モジュールに送信し得る。1つまたは複数のネットワークスライスは、標的認証モジュールによってサービスされるネットワークスライスのうちの1つまたは複数であることがあり、実際の適用シナリオに基づいて特に決定されることがある。これは本明細書では限定されない。標的認証モジュールは、ネットワーク機能選択モジュールによって送信される第2のサービス要求において搬送されるUEのセキュリティ能力を使用することによって、UEによってサポートされる暗号化アルゴリズムおよび完全性保護アルゴリズムなどの情報を決定し得る。あるいは、標的認証モジュールは、ネットワークを使用することによって、UEのセキュリティ能力、具体的には、UEによってサポートされる暗号化アルゴリズムおよび完全性保護アルゴリズムなどの情報を取得し得る。標的認証モジュールはさらに、ANのセキュリティ能力、具体的には、ANによってサポートされる暗号化アルゴリズム、完全性保護アルゴリズムなどを取得し得る。ANのセキュリティ能力は、ANによって標的認証モジュールに送信され得る。たとえば、ANは、ANのセキュリティ能力を第2のサービス要求に追加し、第2のサービス要求を標的認証モジュールに送信し得る。特定の実装形態では、標的認証モジュールは、UEがアタッチされるべき指定されたネットワークスライスのセキュリティポリシー(すなわち、指定されたセキュリティポリシー)に従って鍵を生成することがあり、UEのセキュリティ能力、ANのセキュリティ能力、および指定されたセキュリティポリシーに基づいて、暗号化アルゴリズムおよび完全性保護アルゴリズムをさらに選択することがある。鍵は、少なくとも2つの鍵、たとえば第1の鍵および第2の鍵を含み得る。第1の鍵は、UEとANとの間のシグナリングを保護するために使用される鍵であることがあり、第2の鍵は、UEとAUとの間のシグナリングを保護するために使用される鍵であることがある。第1の鍵の長さおよび第2の鍵の長さは、指定されたセキュリティポリシーにおいて指定される鍵長と矛盾しない。暗号化アルゴリズムは、UEとANの両方によってサポートされる暗号化アルゴリズムの中で最高の選択優先順位を有する暗号化アルゴリズムであることがあり、完全性保護アルゴリズムは、UEとANの両方によってサポートされる完全性保護アルゴリズムの中で最高の選択優先順位を有する完全性保護アルゴリズムであることがある。
いくつかの実現可能な実装形態において、第1の鍵および第2の鍵を生成して標的暗号化アルゴリズムおよび標的完全性保護アルゴリズムを選択した後で、標的認証モジュールは、第2のサービス要求応答を使用することによって第1のセキュリティ構成情報をANに送信するために、第1の鍵、標的暗号化アルゴリズムの識別子、および標的完全性保護アルゴリズムの識別子に基づいて第1のセキュリティ構成を生成し、第1のセキュリティ構成を第2のサービス要求応答に追加し得る。第1のセキュリティ構成情報は、第1の鍵の使用範囲、標的暗号化アルゴリズムの識別子、および標的完全性保護アルゴリズムの識別子などの情報を含み得る。
いくつかの実現可能な実装形態において、標的認証モジュールによって送信される第2のサービス要求応答を受信した後で、ANは、第2のサービス要求応答において搬送される第1の構成情報に基づいて、鍵および暗号化アルゴリズムの識別子または完全性保護アルゴリズムの識別子などの情報を決定し得る。第1のセキュリティ構成が、第1の鍵、暗号化アルゴリズムの識別子、および完全性保護アルゴリズムの識別子などの情報を搬送する場合、ANは、セキュリティポリシーを実行する必要はなく、鍵を直接記憶し、第1のセキュリティ構成において搬送される暗号化アルゴリズムの識別子および完全性保護アルゴリズムの識別子を第2のセキュリティ構成として決定し、第2のセキュリティ構成を第1のサービス要求応答に追加し、次いで、第2のセキュリティ構成をUEに通知するために第1のサービス要求応答をUEに送信し得る。
いくつかの実現可能な実装形態において、UEがアタッチされるべきスライスのセキュリティポリシーが標的認証モジュールおよびANによって共同で実行される場合、セキュリティポリシーコントローラは、標的認証モジュールによってサポートされる1つまたは複数のネットワークスライスのセキュリティポリシーを標的認証モジュールに送信することがあり、セキュリティポリシーコントローラはさらに、システムの中の各ネットワークスライスのセキュリティポリシーをANに送信することがある。標的認証モジュールは、ネットワーク機能選択モジュールによって送信される第2のサービス要求において搬送されるUEのセキュリティ能力を使用することによって、UEによってサポートされる暗号化アルゴリズムおよび完全性保護アルゴリズムなどの情報を決定することがあり、UEのセキュリティ能力をANにさらに送信することがある。あるいは、標的認証モジュールおよびANは、ネットワークを使用することによって、UEのセキュリティ能力、具体的には、UEによってサポートされる暗号化アルゴリズムおよび完全性保護アルゴリズムなどの情報を取得し得る。特定の実装形態では、標的認証モジュールは、少なくとも2つの鍵、たとえば、指定されたセキュリティポリシーに従って第1の鍵および第2の鍵を生成し得る。さらに、標的認証モジュールは、第1の鍵の使用範囲および指定されたネットワークスライスの識別子などの情報に基づいて第1の構成を生成し、第1の構成を第2のサービス要求応答に追加し得る。
いくつかの実現可能な実装形態において、標的認証モジュールによって送信される第2のサービス要求応答を受信した後で、ANは、第2のサービス要求応答において搬送される第1の構成情報に基づいて、鍵および暗号化アルゴリズムの識別子または完全性保護アルゴリズムの識別子などの情報を決定し得る。第1のセキュリティ構成が第1の鍵についての情報だけを搬送する場合、ANはセキュリティポリシーを実行する必要がある。具体的には、ANは、指定されたネットワークスライスの識別子に基づいて、指定されたネットワークスライスの識別子に対応する指定されたセキュリティポリシーを決定し、次いで、UEのセキュリティ能力および指定されたセキュリティポリシーに基づいて標的暗号化アルゴリズムおよび標的完全性保護アルゴリズムを選択し得る。さらに、ANは、標的暗号化アルゴリズムの識別子および標的完全性保護アルゴリズムの識別子を第1のセキュリティ構成に追加して、第2のセキュリティ構成を取得し、第2のセキュリティ構成を第1のサービス要求応答に追加し、第2のセキュリティ構成をUEに通知するために第1のサービス要求応答をUEに送信し得る。
本発明のこの実施形態では、認証プロトコルに従って選択された標的認証モジュールがセキュリティ構成を生成することがあり、または、認証プロトコルおよびANに従って選択された標的認証モジュールがセキュリティ構成を生成することがあるので、選択柔軟性が高く、サイバーセキュリティが改善される。
図8および図9を参照すると、以下は、本発明のこの実施形態において提供される管理システムが様々な適用シナリオにおいてセキュリティポリシーを実行する、実装形態を説明する。
いくつかの実現可能な実装形態において、図8は、本発明の実施形態による、管理システムによってセキュリティポリシーを実行する概略対話図である。図8に示されるシステム構造は、UE、AN、認証モジュール、およびセキュリティポリシーコントローラを含み、セキュリティ構成は、ANおよび認証モジュールによって共同で実行される。AUが説明のために認証モジュールの例として使用され、アタッチ要求が説明のために第1のサービス要求と第2のサービス要求の両方の例として使用される。図8に示される管理システムにおいて提供されるセキュリティ構成を実行する処理は、以下のステップを含む。
801.ANがANのセキュリティ能力をセキュリティポリシーコントローラに報告する。
いくつかの実現可能な実装形態において、任意選択で、ANは、セキュリティポリシーを実行する前にANのセキュリティ能力をセキュリティポリシーコントローラに報告することがあり、セキュリティポリシーコントローラは後続のセキュリティポリシー配信のためにANのセキュリティ能力を記録することがある。ANのセキュリティ能力は、ANによってサポートされる暗号化アルゴリズム、完全性保護アルゴリズムなどを含むことがあり、これは本明細書では限定されない。
802.セキュリティポリシーコントローラが各ネットワークスライスのセキュリティポリシーをANに配信する。
いくつかの実現可能な実装形態において、セキュリティ構成を実行する処理において、セキュリティポリシーコントローラは、各スライスのセキュリティポリシーをANに配信し得るので、ANはセキュリティポリシーを実行することができる。各スライスのセキュリティポリシーは、スライスによってサポートされる各暗号化アルゴリズムの選択優先順位、スライスによってサポートされる各完全性保護アルゴリズムの選択優先順位、ならびに鍵の長さおよび使用範囲などの情報を含む。鍵は、UEとANとの間のシグナリングを保護するために使用される第1の鍵と、UEと認証モジュールとの間のシグナリングを保護するために使用される第2の鍵とを含む。異なるスライスのセキュリティポリシーは、鍵の異なる長さおよび異なる使用範囲を指定することがあり、異なるスライスのセキュリティポリシーはまた、異なる暗号化アルゴリズム選択優先順位および異なる完全性保護アルゴリズム選択優先順位を含むことがある。詳細は、実際の適用シナリオに基づいて決定されることがあり、本明細書では限定されない。
803.セキュリティポリシーコントローラが1つまたは複数のスライスのセキュリティポリシーをAUに配信する。
いくつかの実現可能な実装形態において、セキュリティポリシーコントローラがセキュリティポリシーを配信する先のAUは具体的には、ネットワーク機能選択モジュールによって選択される標的AUであり得る。標的AU(以下では略してAU)は1つまたは複数のスライスをサービスし得る。セキュリティポリシーコントローラは、AUによってサービスされるすべてのスライスのセキュリティポリシーをAUに配信し得る。セキュリティポリシーは、鍵の長さおよび鍵の使用範囲などの情報を含み得る。
804.UEがアタッチ要求をANに送信する。
いくつかの実現可能な実装形態において、アタッチ要求は、UEによってネットワーク機能選択モジュールに送信される第1のサービス要求(すなわち、アタッチ要求)であり得る。UEはアタッチ要求をANに送信し、ANは、UEによって送信されるアタッチ要求を、システムの中のネットワーク機能選択モジュールなどに送信し得る。特定の実装形態では、UEによってANに送信されるアタッチ要求は、UEのセキュリティ能力、UEがアタッチされるべきスライスのスライス情報などを搬送し得る。UEのセキュリティ能力は、UEによってサポートされる暗号化アルゴリズム、完全性保護アルゴリズムなどを含む。UEがアタッチされるべきスライスのスライス情報は、スライス識別子、スライスタイプ、スライスによってサポートされるサービスタイプ、スライステナント識別子などを含み、具体的には実際の適用シナリオ要件に基づいて決定され得る。これは本明細書では限定されない。
805.ANがアタッチ要求をAUに送信する。
いくつかの実現可能な実装形態において、ANがアタッチ要求をAUに直接送信することがあり、または、別のネットワーク要素(たとえば、ネットワーク機能選択モジュール)がアタッチ要求をAUに転送することがある。たとえば、ANは、ネットワーク機能選択モジュールを使用することによって第2のサービス要求をAUに送信し得る。ANによってAUに送信されるアタッチ要求はまた、UEのセキュリティ能力またはUEがアタッチされるべきスライスのスライス情報などの情報を搬送することがあり、これは本明細書では限定されない。AUが複数のスライスをサービスする場合、アタッチ要求をAUに送信するとき、ANは、UEがアタッチされるべきスライスの識別子などのスライス情報をアタッチ要求に追加し得る。AUが単一のスライスをサービスする場合、アタッチ要求をAUに送信するとき、ANは、UEがアタッチされるべきスライスの識別子などのスライス情報をアタッチ要求に追加しないことがある。アタッチ要求が、UEがアタッチされるべきスライスの識別子などのスライス情報を搬送するかどうかは、具体的には実際の適用シナリオに基づいて決定されることがあり、本明細書では限定されない。詳細は以下で説明されない。
806.AUがUEとの相互認証を実行する。
いくつかの実現可能な実装形態において、UEがアタッチ要求を送信してAUがアタッチ要求を受信しUEとの相互認証を実行する具体的な実装形態については、前述の実施形態のステップS401からS404において説明された実装形態を参照されたい。詳細は本明細書で再び説明されない。
807.AUが、UEがアタッチされるべきスライスのセキュリティポリシーに従って鍵を生成する。
いくつかの実現可能な実装形態において、AUは、UEがアタッチされるべきスライス(すなわち、前述の指定されたネットワークスライス)のセキュリティポリシーに従って少なくとも2つの鍵を生成し、少なくとも2つの鍵は第1の鍵および第2の鍵を含む。第1の鍵の長さおよび第2の鍵の長さは、指定されたネットワークスライスのセキュリティポリシー(すなわち、前述の指定されたセキュリティポリシー)において指定される鍵長と矛盾しない。
AUはさらに、鍵および指定されたネットワークスライスの識別子に基づいて第1のセキュリティ構成を生成し、ANに送信されるべき第2のサービス要求応答に第1のセキュリティ構成を追加し得る。第2のサービス要求応答は、具体的には、UEが指定されたネットワークスライスに成功裏にアタッチされることを示すアタッチ成功メッセージであり得る。
808.AUがアタッチ成功メッセージをANに送信する。
いくつかの実現可能な実装形態において、アタッチ成功メッセージは、指定されたネットワークスライスの識別子および鍵などの情報を搬送し得る。
809.ANが鍵および指定されたセキュリティポリシーに基づいて第2のセキュリティ構成を生成する。
いくつかの実現可能な実装形態において、アタッチ成功メッセージを受信した後で、ANは、指定されたネットワークスライスの識別子および第1のセキュリティ構成などの情報をアタッチ成功メッセージから取得し得る。ANは、第1のセキュリティ構成において搬送される鍵を記憶し、第1のセキュリティ構成において搬送される指定されたネットワークスライスの識別子に基づいて、指定されたネットワークスライスの識別子に対応する指定されたセキュリティポリシーを決定し、次いで、UEのセキュリティ能力および指定されたセキュリティポリシーに基づいて標的暗号化アルゴリズムおよび標的完全性保護アルゴリズムを選択し得る。さらに、ANは、標的暗号化アルゴリズムの識別子および標的完全性保護アルゴリズムの識別子を第1のセキュリティ構成に追加して、第2のセキュリティ構成を取得し、第2のセキュリティ構成をUEへ送信されるべき第1のサービス要求応答に追加し、第2のサービス要求応答を使用することによって第2のセキュリティ構成をUEに送信し得る。
810.ANがセキュリティ構成をUEに送信する。
いくつかの実現可能な実装形態において、ANは、第2のセキュリティ構成情報を第1のサービス要求応答(すなわち、アタッチ要求応答)に追加し、アタッチ要求応答をUEに送信して、アタッチ要求応答を使用することによって第2のセキュリティ構成をUEに通知し得る。
本発明のこの実施形態では、システムにおいて、AUおよびANはセキュリティポリシーを実行することがあり、セキュリティ構成の実行を通じて、UEは指定されたネットワークスライスにアタッチされることがあり、それにより、システムセキュリティを保証してマルチスライスサイバーセキュリティ管理を実施する。
いくつかの実現可能な実装形態において、図9は、本発明の実施形態による、管理システムによってセキュリティポリシーを実行する別の概略対話図である。図9に示されるシステム構造は、UE、AN、および認証モジュールを含む。セキュリティ構成は認証モジュールによって実行され、ANはANのセキュリティ能力を認証モジュールに報告してセキュリティポリシーを転送し得る。AUが説明のために認証モジュールの例として使用され、アタッチ要求が説明のために第1のサービス要求と第2のサービス要求の両方の例として使用される。図9に示される管理システムにおいて提供されるセキュリティ構成を実行する処理は、以下のステップを含む。
901.セキュリティポリシーコントローラが1つまたは複数のスライスのセキュリティポリシーをAUに配信する。
いくつかの実現可能な実装形態において、セキュリティポリシーコントローラがセキュリティポリシーを配信する先のAUは具体的には、ネットワーク機能選択モジュールによって選択される標的AUであり得る。標的AU(以下では略してAU)は1つまたは複数のスライスをサービスし得る。セキュリティポリシーコントローラは、AUによってサービスされるすべてのスライスのセキュリティポリシーをAUに配信し得る。各スライスのセキュリティポリシーは、スライスによってサポートされる各暗号化アルゴリズムの選択優先順位、スライスによってサポートされる各完全性保護アルゴリズムの選択優先順位、ならびに鍵の長さおよび使用範囲などの情報を含む。鍵は、UEとANとの間のシグナリングを保護するために使用される第1の鍵と、UEと認証モジュールとの間のシグナリングを保護するために使用される第2の鍵とを含む。異なるスライスのセキュリティポリシーは、鍵の異なる長さおよび異なる使用範囲を指定することがあり、異なるスライスのセキュリティポリシーはまた、異なる暗号化アルゴリズム選択優先順位および異なる完全性保護アルゴリズム選択優先順位を含むことがある。詳細は、実際の適用シナリオに基づいて決定されることがあり、本明細書では限定されない。
902.ANがANのセキュリティ能力をAUに報告し得る。
いくつかの実現可能な実装形態において、ANは、ANによってサポートされる暗号化アルゴリズムまたは完全性保護アルゴリズムなどの情報をAUに送信し得るので、AUは、ANのセキュリティ能力およびUEのセキュリティ能力に基づいて、対応する暗号化アルゴリズムまたは完全性保護アルゴリズムを選択する。ANのセキュリティ能力をAUに報告する処理は、AUがセキュリティポリシーを実行する前のいずれの瞬間にも実行されてよい。これは本明細書では限定されない。AUは、後続のセキュリティポリシー実行のためにANのセキュリティ能力を記憶し得る。
903.UEがアタッチ要求をANに送信する。
いくつかの実現可能な実装形態において、アタッチ要求は、UEによってネットワーク機能選択モジュールに送信される第1のサービス要求(すなわち、アタッチ要求)であり得る。UEはアタッチ要求をANに送信し、ANは、UEによって送信されるアタッチ要求を、システムの中のネットワーク機能選択モジュールなどに送信し得る。特定の実装形態では、UEによってANに送信されるアタッチ要求は、UEのセキュリティ能力、UEがアタッチされるべきスライスのスライス情報などを搬送し得る。UEのセキュリティ能力は、UEによってサポートされる暗号化アルゴリズム、完全性保護アルゴリズムなどを含む。UEがアタッチされるべきスライスのスライス情報は、スライス識別子、スライスタイプ、スライスによってサポートされるサービスタイプ、スライステナント識別子などを含み、具体的には実際の適用シナリオ要件に基づいて決定され得る。これは本明細書では限定されない。
904.ANがアタッチ要求をAUに送信する。
いくつかの実現可能な実装形態において、ANがアタッチ要求をAUに直接送信することがあり、または、別のネットワーク要素(たとえば、ネットワーク機能選択モジュール)がアタッチ要求をAUに転送することがある。たとえば、ANは、ネットワーク機能選択モジュールを使用することによって第2のサービス要求をAUに送信し得る。ANによってAUに送信されるアタッチ要求はまた、UEのセキュリティ能力またはUEがアタッチされるべきスライスのスライス情報などの情報を搬送することがあり、これは本明細書では限定されない。
905.AUがUEとの相互認証を実行する。
いくつかの実現可能な実装形態において、AUがアタッチ要求を受信した後にUEとの相互認証を実行する特定の実装形態については、前述の実施形態のステップS401からS404において説明された実装形態を参照されたい。詳細は本明細書で再び説明されない。
906.AUが、UEがアタッチされるべきスライスのセキュリティポリシー、UEのセキュリティ能力、およびANのセキュリティ能力などの情報に基づいて、第1のセキュリティ構成を生成する。
いくつかの実現可能な実装形態において、AUは、第2のサービス要求(すなわち、アタッチ要求)において搬送されるUEのセキュリティ能力を使用することによって、UEによってサポートされる暗号化アルゴリズムおよび完全性保護アルゴリズムなどの情報を決定し得る。あるいは、AUは、ネットワークを使用することによって、UEのセキュリティ能力、具体的には、UEによってサポートされる暗号化アルゴリズムおよび完全性保護アルゴリズムなどの情報を取得し得る。AUはさらに、ANのセキュリティ能力、具体的には、ANによってサポートされる暗号化アルゴリズム、完全性保護アルゴリズムなどを取得し得る。特定の実装形態では、AUは、UEがアタッチされるべき指定されたネットワークスライスのセキュリティポリシー(すなわち、指定されたセキュリティポリシー)に従って鍵を生成することがあり、UEのセキュリティ能力、ANのセキュリティ能力、および指定されたセキュリティポリシーに基づいて、暗号化アルゴリズムおよび完全性保護アルゴリズムをさらに選択することがある。鍵は、少なくとも2つの鍵、たとえば第1の鍵および第2の鍵を含み得る。第1の鍵は、UEとANとの間のシグナリングを保護するために使用される鍵であることがあり、第2の鍵は、UEとAUとの間のシグナリングを保護するために使用される鍵であることがある。第1の鍵の長さおよび第2の鍵の長さは、指定されたセキュリティポリシーにおいて指定される鍵長と矛盾しない。暗号化アルゴリズムは、UEとANの両方によってサポートされる暗号化アルゴリズムの中で最高の選択優先順位を有する暗号化アルゴリズムであることがあり、完全性保護アルゴリズムは、UEとANの両方によってサポートされる完全性保護アルゴリズムの中で最高の選択優先順位を有する完全性保護アルゴリズムであることがある。
いくつかの実現可能な実装形態において、第1の鍵および第2の鍵を生成して標的暗号化アルゴリズムおよび標的完全性保護アルゴリズムを選択した後で、AUは、第2のサービス要求応答を使用することによって第1のセキュリティ構成情報をANに送信するために、第1の鍵、標的暗号化アルゴリズムの識別子、および標的完全性保護アルゴリズムの識別子に基づいて第1のセキュリティ構成を生成し、第1のセキュリティ構成を第2のサービス要求応答に追加し得る。第1のセキュリティ構成情報は、第1の鍵の使用範囲、標的暗号化アルゴリズムの識別子、および標的完全性保護アルゴリズムの識別子などの情報を含み得る。
907.AUがアタッチ成功メッセージをANに送信する。
いくつかの実現可能な実装形態において、アタッチ成功メッセージは、第1のセキュリティ構成情報を搬送し得る。
908.ANがセキュリティ構成をUEに送信する。
いくつかの実現可能な実装形態において、アタッチ成功メッセージを受信した後で、ANは、アタッチ成功メッセージから第1のセキュリティ構成を取得し、第1のセキュリティ構成において搬送される鍵をさらに記憶し、第1のセキュリティ構成において搬送される暗号化アルゴリズムの識別子および完全性保護アルゴリズムの識別子に基づいて第2のセキュリティ構成を生成し、UEに送信されるべき第1のサービス要求応答に第2のセキュリティ構成を追加し、第1のサービス要求応答を使用することによって第2のセキュリティ構成をUEに送信し得る。
本発明のこの実施形態では、システムにおいて、AUはセキュリティポリシーを実行することがあり、セキュリティ構成の実行を通じて、UEは指定されたネットワークスライスにアタッチされることがあり、それにより、システムセキュリティを保証してマルチスライスサイバーセキュリティ管理を実施する。
図10A、図10B、および図10Cから図14を参照すると、以下は、本発明のこの実施形態において提供される管理システムが様々な適用シナリオにおいてサイバーセキュリティ管理を実行する、実装形態を説明する。
いくつかの実現可能な実装形態において、図10A、図10B、および図10Cは、本発明の実施形態による、管理システムによってサイバーセキュリティ管理を実行する概略対話図である。図10A、図10B、および図10Cに示されるシステム構造は、UE、AN、ネットワーク機能選択モジュール、および認証モジュールを含む。SSFおよびMMが説明のためにネットワーク機能選択モジュールの例として使用され、SSFとMMの両方がAURFおよびAUSFの機能を提供し得る。AUが説明のために認証モジュールの例として使用され、アタッチ要求が説明のために第1のサービス要求と第2のサービス要求の両方の例として使用される。図10A、図10B、および図10Cにおいて、本発明のこの実施形態において提供される管理システムはさらに、5Gネットワークアーキテクチャにおいてセッション管理(英語:Session Management,SM)、UP−GW、および契約データベースと対話し得る。
この適用シナリオでは、UEはスライス識別子を提供することができず、UEはアタッチ手順において認証を2回実行することになる。スライス選択がAU選択の初回に実施されることがあり、AU選択の初回はSSFにおいて実行される。スライスのセキュリティポリシーがAU選択の2回目に実施されることがあり、AU選択の2回目はMMにおいて実行される。SSFとMMの両方が、AUSFおよびAURFの機能を提供する。
図10A、図10B、および図10Cに示される管理システムにおいて提供されるサイバーセキュリティ管理を実行する処理は、以下のステップを含む。
1001.UEがアタッチ要求をANに送信し、ANを使用することによってアタッチ要求をSSFに送信する。
特定の実装形態では、アタッチ要求は前述の第1のサービス要求であることがあり、アタッチ要求は認証プロトコル情報を搬送する。
1002.SSFが認証プロトコル情報に基づいてAUを選択する。
特定の実装形態では、SSFが認証プロトコル情報に基づいてAUを選択する特定の実装形態処理については、ステップS402において説明される実装形態を参照されたい。詳細は本明細書で再び説明されない。
1003.AUが、選択された認証プロトコルを使用することによってUEとの相互認証を実行し、認証結果をSSFに通知する。
ステップS1003は以下のサブステップを含み得る。
3a.SSFがアタッチ要求をAUに送信する。
アタッチ要求は認証プロトコル情報を搬送する。AUは、認証プロトコル情報に基づいて、UEとAUの両方によってサポートされる認証プロトコルを選択し得る。具体的な選択方式については、ステップS401からS404において説明される実装形態を参照されたい。
3b.AUが認証プロトコルの識別子をUEにフィードバックする。
標的認証プロトコルを選択した後で、AUは、標的認証プロトコルを使用することによってUEとの相互認証を実施するために、認証プロトコルの識別子をUEに送信し得る。
3c.AUがUEとの相互認証を実行する。
3d.AUがUEとの相互認証の結果をSSFに送信する。
1004.SSFがスライスを選択する。
特定の実装形態では、SSFは、AUとUEとの間の認証の結果に基づいて、UEがアタッチされるべきスライスを選択する。具体的な実装形態については、既存の5Gネットワークシステムにおいて提供される実装形態を参照されたい。詳細は本明細書では説明されない。
1005.SSFがスライスの識別子をANに送信する。
特定の実装形態では、SSFは、ANを使用することによってUEをスライスにアタッチするためのMMを選択するために、スライスを選択した後でスライスの識別子をANに送信し得る。
1006.ANがMMを選択する。
UEがアタッチされるべきスライスの識別子に基づいてANがMMを選択する具体的な実装形態については、既存の5Gネットワークシステムにおいて提供される実装形態を参照されたい。詳細は本明細書では説明されない。
1007.UEが、以下のステップを含めて、選択されたスライスへのアタッチを実行する。
7a.ANがUEのアタッチ要求をMMに送信する。
アタッチ要求は認証プロトコル情報を含む。
7b.MMが認証プロトコル情報に基づいてAUを選択する。
7c.MMがUEのアタッチ要求を選択されたAUに送信する。
アタッチ要求は認証プロトコル情報を含み得る。選択されたAUが1つだけの認証プロトコルをサポートする場合、アタッチ要求は認証プロトコル情報を含まないことがある。選択されたAUが複数の認証プロトコルをサポートする場合、アタッチ要求はAU選択の間に決定される認証プロトコルを含み得る。
7d.AUが選択された認証プロトコルの識別子をUEに通知する。
任意選択で、選択された認証プロトコルの識別子は、AURFの機能を提供するSSFまたはMMによって送信されることがあり、これは本明細書では限定されない。
7e.UEがAUとの相互認証を実行し、UEがスライスにアタッチされることをAUが認可する。
特定の実装形態では、AUが認証プロトコルに従ってUEとの相互認証を実行する、7a〜7eにおいて説明された実装形態については、ステップS401およびS402において説明された実装形態を参照されたい。詳細は本明細書では再び説明されない。
7f.UP接続を設定する。
7g.スライスのセキュリティポリシーを実行する。
特定の実装形態では、AUは、UEがアタッチされるべきスライスのセキュリティポリシーなどの情報に基づいて、第1のセキュリティ構成を生成する。第1のセキュリティ構成は、鍵を含み、暗号化アルゴリズムの識別子または完全性保護アルゴリズムの識別子などの情報をさらに含むことがあり、具体的には、AUによってセキュリティポリシーを実行する実装形態に従って決定されることがある。詳細については、前述の適用シナリオにおいて説明される実装形態を参照されたい。詳細は本明細書では再び説明されない。
7h.AUがアタッチ応答をANに送信する。
アタッチ応答は第1のセキュリティ構成を含み得る。
1008.スライスのセキュリティポリシーを実行する。
任意選択で、ANは、第1のセキュリティ構成およびUEがアタッチされるべきスライスのセキュリティポリシーなどの情報に基づいて、第2のセキュリティ構成を決定する。AUによって生成される第1のセキュリティ構成が、鍵、暗号化アルゴリズム、および完全性保護アルゴリズムなどの情報を含む場合、このステップは省略され得る。AUによって生成される第1のセキュリティ構成が鍵のみを含む場合、ANはさらに、鍵、暗号化アルゴリズム、および完全性保護アルゴリズムなどの情報を含む第2のセキュリティ構成を決定するために、暗号化アルゴリズムおよび完全性保護アルゴリズムなどの情報を選択し得る。
1009.ANがアタッチ応答をUEに送信する。
アタッチ応答は第2のセキュリティ構成を含み得る。
いくつかの実現可能な実装形態において、図11は、本発明の実施形態による、管理システムによってサイバーセキュリティ管理を実行する別の概略対話図である。図11に示されるシステム構造は、UE、AN、ネットワーク機能選択モジュール、および認証モジュールを含む。SSFおよびMMが説明のためにネットワーク機能選択モジュールの例として使用され、SSFとMMの両方がAURFおよびAUSFの機能を提供し得る。AUが説明のために認証モジュールの例として使用され、アタッチ要求が説明のために第1のサービス要求と第2のサービス要求の両方の例として使用される。図11では、本発明のこの実施形態において提供される管理システムはさらに、5GネットワークアーキテクチャにおいてSM、GW−U、および契約データベースと対話し得る。
この適用シナリオでは、UEはスライス識別子を提供し、UEはアタッチ手順において認証を1回実行することになる。AU選択がMMにおいて実行される。MMが、AUSFおよびAURFの機能を提供する。
図11に示される管理システムにおいて提供されるサイバーセキュリティ管理を実行する処理は、以下のステップを含む。
1101.UEがアタッチ要求をANに送信し、要求はUEの認証プロトコル情報を含む。
1102.ANがUEのアタッチ要求をMMに送信する。
1103.MMがアタッチ要求の中の認証プロトコル情報に基づいてAUを選択する。
1104.MMがUEのアタッチ要求を選択されたAUに送信し、要求は認証プロトコル情報を含む。
1105.(任意選択)AUが選択された認証プロトコルの識別子をUEに通知する。
1106.UEが認証プロトコルを使用することによってAUとの相互認証を実行する。
1107.(任意選択)UP接続を設定する。
1108.スライスのセキュリティポリシーを実行する。
特定の実装形態では、AUは、UEがアタッチされるべきスライスのセキュリティポリシーなどの情報に基づいて、第1のセキュリティ構成を生成する。第1のセキュリティ構成は、鍵を含み、暗号化アルゴリズムの識別子または完全性保護アルゴリズムの識別子などの情報をさらに含むことがあり、具体的には、AUによってセキュリティポリシーを実行する実装形態に従って決定されることがある。詳細については、前述の適用シナリオにおいて説明される実装形態を参照されたい。詳細は本明細書では再び説明されない。
1109.AUがアタッチ応答をANに送信する。
アタッチ応答は第1のセキュリティ構成を含み得る。
1110.スライスのセキュリティポリシーを実行する。
任意選択で、ANは、第1のセキュリティ構成およびUEがアタッチされるべきスライスのセキュリティポリシーなどの情報に基づいて、第2のセキュリティ構成を決定する。AUによって生成される第1のセキュリティ構成が、鍵、暗号化アルゴリズム、および完全性保護アルゴリズムなどの情報を含む場合、このステップは省略され得る。AUによって生成される第1のセキュリティ構成が鍵のみを含む場合、ANはさらに、鍵、暗号化アルゴリズム、および完全性保護アルゴリズムなどの情報を含む第2のセキュリティ構成を決定するために、暗号化アルゴリズムおよび完全性保護アルゴリズムなどの情報を選択し得る。
1111.ANがアタッチ応答をUEに送信する。
特定の実装形態では、前述のステップの実装形態について、図10A、図10B、および図10Cにおいて示される適用シナリオの実施形態のステップにおいて説明される実装形態を参照されたい。詳細は本明細書では再び説明されない。
いくつかの実現可能な実装形態において、図12は、本発明の実施形態による、管理システムによってサイバーセキュリティ管理を実行する別の概略対話図である。図12に示されるシステム構造は、UE、AN、ネットワーク機能選択モジュール、および認証モジュールを含む。SSFおよびMMが説明のためにネットワーク機能選択モジュールの例として使用され、SSFとMMの両方がAURFおよびAUSFの機能を提供し得る。AUが説明のために認証モジュールの例として使用され、アタッチ要求が説明のために第1のサービス要求と第2のサービス要求の両方の例として使用される。図12では、本発明のこの実施形態において提供される管理システムはさらに、5GネットワークアーキテクチャにおいてSM、GW−U、および契約データベースと対話し得る。
この実施形態では、UEは、スライスにアタッチされており、新しいサービス要求を使用することによって別のスライスへアタッチされるように要求し、UEは、アタッチ手順において認証を1回実行することになる。AU選択がSSFにおいて実行される。SSFが、AUSFおよびAURFの機能を提供する。
図12に示される管理システムにおいて提供されるサイバーセキュリティ管理を実行する処理は、以下のステップを含む。
1201.UEが新しいサービス要求をANに送信し、要求はUEの認証プロトコル情報を含む。
1202.ネットワークが、以下のステップを含めて、スライス選択およびAU選択を実行する。
2a.ANが新しいサービス要求をMMに送信し、新しいサービス要求は認証プロトコル情報を搬送する。
2b.MMが新しいサービス要求をSSFに送信し、新しいサービス要求は認証プロトコル情報を搬送する。
2c.SSFがスライスを選択し、認証プロトコル情報に基づいてAUを選択する。
SSFによってスライスを選択する処理については、既存の5Gアーキテクチャのシステムにおいて提供される実装形態を参照されたい。これは本明細書では限定されない。SSFは、標的AUを使用することによってUEを別のスライスにアタッチする動作を実施するために、選択されたスライスおよび新しいサービス要求において搬送される認証プロトコル情報に基づいて標的AUを選択し得る。
2d.SSFが新しいサービス要求をAUに送信する。
新しいサービス要求はスライスのIDおよび認証プロトコル情報を搬送する。
1203.(任意選択)AUが選択された認証プロトコルの識別子をUEに通知する。
1204.UEが認証プロトコルを使用することによってAUとの相互認証を実行し、UEがスライスにアタッチされることをAUが認可する。
1205.MMが新しいサービス要求をSMに送信する。
1206.UP接続を設定する。
1207.MMが新しいサービス応答をUEに送信する。
特定の実装形態では、前述のステップの実装形態について、前述の適用シナリオの実施形態のステップにおいて説明される実装形態を参照されたい。詳細は本明細書では再び説明されない。
いくつかの実現可能な実装形態において、図13は、本発明の実施形態による、管理システムによってサイバーセキュリティ管理を実行する別の概略対話図である。図13に示されるシステム構造は、UE、AN、および認証モジュールを含む。説明のために、ネットワーク機能選択モジュールによって実行される実装形態はANによって実行され、ANはAURFおよびAUSFの機能を提供し得る。フロントエンドが説明のために認証モジュールの例として使用され、フロントエンドはAUの機能を提供し得る。アタッチ要求が説明のために第1のサービス要求と第2のサービス要求の両方の例として使用される。
この実施形態では、フロントエンドと名付けられたネットワーク要素がAUの機能を提供し、UEに割り振られたフロントエンドは、スライスに専用のネットワーク要素へUEのすべての制御プレーン(Control Plane,CP)シグナリングを転送することを担う。UEは、アタッチ手順においてフロントエンドと1回認証を実行することになる。フロントエンド選択はRANにおいて実行される。RANが、AUSFおよびAURFの機能を提供する。
図13に示される管理システムにおいて提供されるサイバーセキュリティ管理を実行する処理は、以下のステップを含む。
1301.UEがアタッチ要求をRANに送信する。
アタッチ要求は、UEの認証プロトコル情報、UEの識別子、スライス情報、およびUEのセキュリティ能力などの情報を含む。
1302.RANがアタッチ要求の中の認証プロトコル情報に基づいてデフォルトのフロントエンドを選択する。
1303.RANがUEのアタッチ要求を選択されたデフォルトのフロントエンドに送信し、要求は認証プロトコル情報を含む。
1304.UEが認証プロトコルを使用することによってデフォルトのフロントエンドとの相互認証を実行する。
1305.デフォルトのフロントエンドが、UEの契約情報を確認し、フロントエンドを選択する。
1306.デフォルトのフロントエンドがアタッチ要求を選択されたフロントエンドに転送する。
1307.選択されたフロントエンドがアタッチ受け入れメッセージをデフォルトのフロントエンドに送信する。
1308.デフォルトのフロントエンドがアタッチ受け入れメッセージをRANに送信する。
1309.RANがスライスのセキュリティポリシーを実行する。
特定の実装形態では、任意選択で、RANは、UEがアタッチされるべきスライスのセキュリティポリシーに従ってセキュリティ構成を生成し、セキュリティ構成は、第1の鍵、第2の鍵、暗号化アルゴリズム、完全性保護アルゴリズムなどを含む。
1310.RANがアタッチ受け入れメッセージをUEに送信する。
特定の実装形態では、前述のステップの実装形態について、前述の適用シナリオの実施形態のステップにおいて説明される実装形態を参照されたい。詳細は本明細書では再び説明されない。
いくつかの実現可能な実装形態において、図14は、本発明の実施形態による、管理システムによってサイバーセキュリティ管理を実行する別の概略対話図である。図14に示されるシステム構造は、UE、次世代アクセスネットワーク、および認証モジュールを含む。説明のために、ANおよびネットワーク機能選択モジュールによって実行される実装形態は次世代アクセスネットワークによって実行され、次世代アクセスネットワークはAURFおよびAUSFの機能を提供し得る。ACAが説明のために認証モジュールの例として使用され、ACAはAUの機能を提供し得る。アタッチ要求が説明のために第1のサービス要求と第2のサービス要求の両方の例として使用される。図14では、本発明のこの実施形態において提供される管理システムはさらに、5GネットワークアーキテクチャにおいてHSSと対話し得る。
この実施形態では、ACAと名付けられたネットワーク要素がAUの機能を提供し、ACAはスライス選択機能も提供する。UEは、アタッチ手順においてACAと1回認証を実行することになる。ACA選択は次世代アクセスネットワーク(すなわち、次世代RAN)において実行される。次世代アクセスネットワークが、AUSFおよびAURFの機能を提供する。
図14に示される管理システムにおいて提供されるサイバーセキュリティ管理を実行する処理は、以下のステップを含む。
1401.UEが次世代アクセスネットワークへの接続を確立する。
1402.UEがアタッチ要求を次世代アクセスネットワークに送信し、要求は認証プロトコル情報を含む。
1403.次世代アクセスネットワークがアタッチ要求の中の認証プロトコル情報に基づいてACAを選択する。
1404.次世代アクセスネットワークがUEのアタッチ要求を選択されたACAに送信し、要求は認証プロトコル情報を含む。
1405.(任意選択)ACAが認証プロトコルの識別子をUEに送信する。
1406.UEが認証プロトコルを使用することによってACAとの相互認証を実行する。
1407.ACAがUEの場所情報をHSSに対して更新する。
1408.ACAがスライスのセキュリティポリシーを実行する。
具体的には、ACAは、UEがアタッチされるべきスライスのセキュリティポリシーに従って鍵を生成し、UEのセキュリティ能力およびスライスのセキュリティポリシーなどの情報に基づいて暗号化アルゴリズムおよび完全性保護アルゴリズムをさらに選択し、暗号化アルゴリズムの識別子および完全性保護アルゴリズムの識別子などの情報を第1のセキュリティ構成に追加し得る。
1409.ACAがアタッチ応答メッセージを次世代アクセスネットワークに送信する。
1410.次世代アクセスネットワークがスライスのセキュリティポリシーを実行する。
特定の実装形態では、任意選択で、次世代アクセスネットワークは、UEがアタッチされるべきスライスのセキュリティポリシーおよびUEのセキュリティ能力などの情報に基づいて、暗号化アルゴリズムおよび完全性保護アルゴリズムを選択し、第1のセキュリティ構成を参照して第2のセキュリティ構成を決定し得る。
1411.次世代アクセスネットワークがアタッチ応答メッセージをUEに送信する。
アタッチ応答メッセージは第2のセキュリティ構成を搬送し得る。
特定の実装形態では、前述のステップの実装形態について、前述の適用シナリオの実施形態のステップにおいて説明される実装形態を参照されたい。詳細は本明細書では再び説明されない。
図15は、本発明の実施形態による、サイバーセキュリティ管理システムの別の概略構造図である。本発明のこの実施形態において提供される管理システムは、UEと、ネットワーク機能選択モジュールと、少なくとも2つの認証モジュールとを含み得る。少なくとも2つの認証モジュールは、複数のスライスによって共有される認証モジュールを含み、単一のスライスに専用の認証モジュールも含む。あるいは、少なくとも2つの認証モジュールの各々が、複数のスライスによって共有される認証モジュールであることがあり、または、単一のスライスに専用の認証モジュールであることがある。詳細は、実際の適用シナリオに基づいて決定されることがあり、本明細書では限定されない。複数の共有される認証モジュールがあることがあり、各々の共有される認証モジュールが少なくとも2つのスライスにサービスする。複数の専用の認証モジュールがあることもあり、各々の専用の認証モジュールが1つのスライスにサービスする。特定の実装形態では、認証モジュールの量および認証モジュールによってサービスされるスライスの分布状態が、実際の適用シナリオに基づいて決定されることがあり、これは本明細書では限定されない。
本発明のこの実施形態では、ネットワーク機能選択モジュールは、AUSF、AURF、SSF、MMなどを含むことがあり、具体的には実際の適用シナリオに基づいて決定されることがあり、これは本明細書では限定されない。
本発明のこの実施形態では、認証モジュールは、AU、フロントエンド、ACAなどを含むことがあり、具体的には実際の適用シナリオに基づいて決定されることがあり、これは本明細書では限定されない。
図16は、本発明の実施形態による、管理システムの中の機能モジュール(UE、AN、ネットワーク機能選択モジュール、および認証モジュールを含む)によってサイバーセキュリティ管理を実施する概略対話図である。図15に示されるシステムがサイバーセキュリティ管理を実施する処理は、以下のステップを含み得る。
1601.UEが第1のサービス要求をネットワーク機能選択モジュールに送信し、第1のサービス要求は認証プロトコル情報を搬送する。
1602.ネットワーク機能選択モジュールは、認証プロトコル情報に基づいて、少なくとも2つの認証モジュールから標的認証モジュールを選択する。
1603.ネットワーク機能選択モジュールが、第2のサービス要求を標的認証モジュールに送信する。
1604.標的認証モジュールが、第2のサービス要求を受信し、UEとの相互認証を実行する。
いくつかの実現可能な実装形態において、第1のサービス要求は具体的には、スライスにアタッチされるようにUEが要求するアタッチ要求であり得る。あるいは、第1のサービス要求は、UEがスライスにアタッチされていて、新しいサービス要求を使用することによって別のスライスにアタッチされることを期待するときにUEによって送信される新しいサービス要求であり得る。アタッチ要求または新しいサービス要求は認証プロトコル情報を搬送する。認証プロトコル情報は、UEによってサポートされる1つまたは複数の認証プロトコルの識別子、またはUEによってサポートされる複数の認証プロトコルの各々の選択優先順位などの情報を含む。アタッチ要求または新しいサービス要求はまた、UEがアタッチされるべきスライスの識別子などを搬送し得る。第1のサービス要求のタイプおよび第1のサービス要求において搬送される認証プロトコル情報は特に、実際の適用シナリオに基づいて決定されることがあり、本明細書では限定されない。
いくつかの実現可能な実装形態において、UEによって送信される第1のサービス要求を受信した後で、ネットワーク機能選択モジュールは、第1のサービス要求において搬送される認証プロトコル情報に基づいて少なくとも2つの認証モジュールから標的認証モジュールを選択し得る。特定の実装形態では、認証プロトコル情報がUEによってサポートされる1つの認証プロトコル(たとえば、第1の認証プロトコル)の識別子を搬送する場合、ネットワーク機能選択モジュールは、第1の認証プロトコルの識別子に基づいて、第1の認証プロトコルをサポートする認証モジュールを、複数の認証モジュールから標的認証モジュールとして選択し得る。1つより多くの認証モジュールが第1の認証プロトコルをサポートする場合、ネットワーク機能選択モジュールは、各認証モジュールの負荷状態に基づいて、最も負荷の小さい認証モジュールを認証モジュールから標的認証モジュールとして選択し得る。
さらに、第1のサービス要求が、UEがアタッチされるべきスライス(すなわち、指定されるネットワークスライス)の識別子を搬送する場合、ネットワーク機能選択モジュールは、第1の認証プロトコルの識別子および指定されたネットワークスライスの識別子に基づいて、ネットワークに含まれる少なくとも2つの認証モジュールから標的認証モジュールを選択し得る。標的認証モジュールは、第1の認証プロトコルおよび指定されたネットワークスライスをサポートする認証モジュールである。具体的には、ネットワーク機能選択モジュールはまず、第1の認証プロトコルの識別子に基づいて、複数の認証モジュールから第1の認証プロトコルをサポートする認証モジュールを選択し得る。1つより多くの認証モジュールが第1の認証プロトコルをサポートする場合、ネットワーク機能選択モジュールは、指定されたネットワークスライスの識別子に基づいて、UEがアタッチされるべきスライスと関連付けられる認証モジュールを、第1の認証プロトコルをサポートする複数の認証モジュールから標的認証モジュールとして選択し得る。UEがアタッチされるべきスライスと関連付けられる認証モジュールは、そのスライスにサービスする認証モジュールであり得る。加えて、あるいは、ネットワーク機能選択モジュールはまず、指定されたネットワークスライスの識別子に基づいて、複数の認証モジュールから指定されたネットワークスライスをサポートする認証モジュールを選択し得る。1つより多くの認証モジュールが指定されたネットワークスライスをサポートする場合、ネットワーク機能選択モジュールは、第1の認証プロトコルに従って、第1の認証プロトコルをサポートする認証モジュールを、指定されたネットワークスライスをサポートする複数の認証モジュールから標的認証モジュールとして選択し得る。さらに、あるいは、ネットワーク機能選択モジュールは、第1の認証プロトコルの識別子および指定されたネットワークスライスの識別子に基づいて、複数の認証モジュールから同時に標的認証モジュールを選択し得る。特定の選択処理における認証モジュール選別方式は、実際の適用シナリオに基づいて決定されることがあり、本明細書では限定されない。
さらに、いくつかの実現可能な実装形態において、1つより多くの標的認証モジュールは、第1の認証プロトコルの識別子に基づいて、または第1の認証プロトコルの識別子および指定されたネットワークスライスの識別子に基づいて選択され、ネットワーク機能選択モジュールは、各々の選択された被選択候補の標的認証モジュールの負荷状態に基づいて最終的に選択される標的認証モジュールとして、複数の選択された被選択候補の標的認証モジュールから最も負荷の小さい認証モジュールを選択し得る。
いくつかの実現可能な実装形態において、認証プロトコル情報がUEによってサポートされる複数の認証プロトコル(各認証プロトコルはたとえば、第2の認証プロトコルである)の識別子を搬送する場合、ネットワーク機能選択モジュールは、UEによってサポートされる第2の認証プロトコルの識別子に基づいて、標的認証モジュールをネットワークに含まれる複数の認証モジュールから選択し得る。特定の実装形態では、システムに含まれる複数の認証モジュールのうちの1つだけがUEによってサポートされる認証プロトコルをサポートする場合、その認証モジュールが標的認証モジュールとして決定され得る。ネットワークに含まれる複数の認証モジュールがUEによってサポートされる認証プロトコルのうちの1つをサポートする複数の認証モジュールを含む場合、最も負荷の小さい認証モジュールが、認証プロトコルをサポートする複数の認証モジュールから標的認証モジュールとして選択され得る。ネットワークに含まれる複数の認証モジュールが異なる認証プロトコルをサポートする複数の異なる認証モジュールを含む場合、ネットワーク機能選択モジュールは、各認証プロトコルの選択優先順位または各認証モジュールの負荷状態に基づいて、複数の異なる認証モジュールから標的認証モジュールを選択する。
いくつかの実現可能な実装形態において、ネットワークに含まれる複数の認証モジュールが異なる認証プロトコルをサポートする複数の異なる認証モジュールを含む場合、ネットワーク機能選択モジュールは、ネットワークにおいて設定される認証プロトコル選択優先順位に基づいて、UEによってサポートされる複数の認証プロトコルから最も高い選択優先順位を有する認証プロトコルを決定することがあり、次いで、最も高い選択優先順位を有する認証プロトコルをサポートする被選択候補の認証モジュールを、異なる認証プロトコルをサポートする複数の異なる認証モジュールから標的認証モジュールとして選択することがある。1つより多くの被選択候補の認証モジュールが最高の選択優先順位を有する認証プロトコルをサポートする場合、各々の被選択候補の認証モジュールの負荷状態に基づいて、最も負荷の小さい認証モジュールが、認証モジュールから標的認証モジュールとして選択され得る。
いくつかの実現可能な実装形態において、ネットワークに含まれる複数の認証モジュールが異なる認証プロトコルをサポートする複数の異なる認証モジュールを含む場合、ネットワーク機能選択モジュールは直接、各認証モジュールの負荷状態に基づいて、最も負荷の小さい認証モジュールを認証モジュールから標的認証モジュールとして選択し得る。
さらに、いくつかの実現可能な実装形態において、第1のサービス要求において搬送される認証プロトコル情報は、UEによってサポートされる複数の認証プロトコルの識別子(各認証プロトコルはたとえば、第3の認証プロトコルであり得る)および各々の第3の認証プロトコルの選択優先順位を含み得る。ネットワーク機能選択モジュールは、UEによってサポートされる第3の認証プロトコルの識別子に基づいて、システムに含まれる複数の認証モジュールから標的認証モジュールを選択し得る。特定の実装形態では、システムに含まれる複数の認証モジュールのうちの1つだけがUEによってサポートされる認証プロトコルをサポートする場合、その認証モジュールが標的認証モジュールとして決定され得る。システムに含まれる複数の認証モジュールがUEによってサポートされる第3の認証プロトコルのうちの1つをサポートする複数の認証モジュールを含む場合、最も負荷の小さい認証モジュールが、第3の認証プロトコルをサポートする複数の認証モジュールから標的認証モジュールとして選択され得る。システムに含まれる複数の認証モジュールが異なる第3の認証プロトコルをサポートする複数の異なる認証モジュールを含む場合、ネットワーク機能選択モジュールは、各認証モジュールの負荷状態に基づいて、最も負荷の小さい認証モジュールを認証モジュールから標的認証モジュールとして選択し得る。
さらに、システムに含まれる複数の認証モジュールが異なる第3の認証プロトコルをサポートする複数の異なる認証モジュールを含む場合、ネットワーク機能選択モジュールはさらに、各々の第3の認証プロトコルの選択優先順位に基づいて、最高の選択優先順位を有する認証プロトコル(たとえば、第4の認証プロトコル)をサポートする認証モジュールを、異なる第3の認証プロトコルをサポートする複数の異なる認証モジュールから標的認証モジュールとして選択し得る。1つより多くの認証モジュールが第4の認証プロトコルをサポートする場合、ネットワーク機能選択モジュールは、各認証モジュールの負荷状態に基づいて、最も負荷の小さい認証モジュールを認証モジュールから標的認証モジュールとして選択し得る。
さらに、いくつかの実現可能な実装形態において、第1のサービス要求は、UEがアタッチされるべきスライスの識別子に加えて、より多くのスライス情報を搬送することがあり、スライス情報は特に、スライスタイプ、スライスによってサポートされるサービスタイプ、スライステナント識別子などを含み得る。認証プロトコル情報に基づいて標的認証モジュールを選択する処理において、ネットワーク機能選択モジュールはまた、スライス情報に関する網羅的な選択を実行することがあり、これは本明細書では限定されない。
いくつかの実現可能な実装形態において、標的認証モジュールを選択した後で、ネットワーク機能選択モジュールは、第2のサービス要求を標的認証モジュールに送信し得る。それに対応して、第2のサービス要求はまた、アタッチ要求または新しいサービス要求であり得る。特定の実装形態では、標的認証モジュールが1つだけの認証プロトコルをサポートする場合、標的認証モジュールに送信される第2のサービス要求は、認証プロトコル情報を搬送する必要がなく、UEの識別子、UEがアタッチされるべきスライスについての情報などを搬送することがある。標的認証モジュールが複数の認証プロトコルをサポートし得る場合、第2のサービス要求は、UEと標的認証モジュールの両方によってサポートされる認証プロトコルのものであり標的認証モジュールの選択の間に使用される識別子を搬送し得る。任意選択で、第2のサービス要求は、UEの識別子、UEがアタッチされるべきスライスについての情報などを搬送することがあり、これは本明細書では限定されない。
いくつかの実現可能な実装形態において、標的認証モジュールが1つだけの認証プロトコルをサポートする場合、標的認証モジュールは、認証プロトコルを使用することによってUEと相互認証を直接実行し得る。標的認証モジュールが複数の認証プロトコルをサポートし得る場合、標的認証モジュールは、ネットワーク機能選択モジュールによって送信される第2のサービス要求を受信し、UEと標的認証モジュールの両方によってサポートされ第2のサービス要求において搬送される認証プロトコルに従って、UEとの相互認証を実行し得る。特定の実装形態では、第2のサービス要求はさらに、UEの識別子、たとえばUEのIDを搬送することがあり、これは本明細書では限定されない。UEのIDまたはスライス情報を使用することによってUEとの相互認証を認証モジュールが実施する実装形態については、5Gフレームワークにおけるシステム対話の既存の実装形態を参照されたい。詳細は本明細書では説明されない。
特定の実装形態では、本発明のこの実施形態において提供される管理システムが様々な適用シナリオにおいて認証モジュール選択を実施する実装形態については、図5から図7の実施形態のステップにおいて説明された実装形態を参照されたい。詳細は本明細書では再び説明されない。
本発明のこの実施形態では、ネットワーク機能選択モジュールが、UEによってサポートされる認証プロトコルについての情報に基づいて、UEによってサポートされる認証プロトコルをサポートする認証モジュールを選択することがあり、次いで、認証モジュールが、UEとの相互認証を実行することがあり、これにより、認証モジュール選択精度およびサイバーセキュリティを改善する。
図17は、本発明の実施形態による、サイバーセキュリティ管理システムの別の概略構造図である。本発明のこの実施形態において提供される管理システムは、UEと、ANと、セキュリティポリシーコントローラと、認証モジュールとを含み得る。認証モジュールは、複数のスライスによって共有される認証モジュールを含み、単一のスライスに専用の認証モジュールも含む。複数の共有される認証モジュールがあることがあり、各々の共有される認証モジュールが少なくとも2つのスライスにサービスする。複数の専用の認証モジュールがあることもあり、各々の専用の認証モジュールが1つのスライスにサービスする。特定の実装形態では、認証モジュールの量および認証モジュールによってサービスされるスライスの分布状態が、実際の適用シナリオに基づいて決定されることがあり、これは本明細書では限定されない。
本発明のこの実施形態では、認証モジュールは、AU、フロントエンド、ACAなどを含むことがあり、具体的には実際の適用シナリオに基づいて決定されることがあり、これは本明細書では限定されない。
図18は、本発明の実施形態による、管理システムの中の機能モジュール(UE、AN、セキュリティポリシーコントローラ、および認証モジュールを含む)によってサイバーセキュリティ管理を実施する別の概略対話図である。図17に示されるシステムがサイバーセキュリティ管理におけるセキュリティ構成管理を実施する処理は、以下のステップを含み得る。
1801.セキュリティポリシーコントローラが、ネットワークスライスセキュリティポリシーをANまたは認証モジュールに配信する。
1802.UEが第1のサービス要求をANに送信し、第1のサービス要求はUEがアタッチされるべき指定されたネットワークスライスの識別子を搬送する。
1803.ANが第2のサービス要求を認証モジュールに送信し、第2のサービス要求はUEがアタッチされるべき指定されたネットワークスライスの識別子を搬送する。
1804.認証モジュールが、第2のサービス要求を受信し、UEとの相互認証を実行する。
1805.認証モジュールが、指定されるネットワークスライスの指定されたセキュリティポリシーに従って、第1のセキュリティ構成を決定する。
1806.ANが第2のサービス要求応答を送信し、第2のサービス要求応答が第1のセキュリティ構成を搬送する。
1807.ANが第1のセキュリティ構成または指定されたセキュリティポリシーに基づいて第2のセキュリティ構成を決定する。
1808.ANが第1のサービス要求応答をUEに送信し、第1のサービス要求応答が第2のセキュリティ構成を搬送する。
いくつかの実現可能な実装形態において、本発明のこの実施形態において提供されるセキュリティポリシーコントローラは、システムに含まれる各ネットワークスライスのセキュリティポリシーを認証モジュールまたはANに配信するように構成される。特定の実装形態では、本発明のこの実施形態において提供される管理システムにおいて、UEがアタッチされるべきスライスのセキュリティポリシーは標的認証モジュール(図17に示される認証モジュール)によって実行されることがあり、または、UEがアタッチされるべきスライスのセキュリティポリシーは標的認証モジュールおよびANによって共同で実行されることがある。特定の実装形態では、ネットワークスライスセキュリティポリシーは、UEとANとの間のシグナリングに対する鍵の長さを指定することがあり、暗号化アルゴリズム選択優先順位、完全性保護アルゴリズム選択優先順位、および鍵の使用範囲などの情報をさらに指定することがある。鍵の使用範囲は、鍵の使用時間長、鍵を使用することによって暗号化され得るデータパケットの量などを含み得る。
いくつかの実現可能な実装形態において、UEがアタッチされるべきスライスのセキュリティポリシーが標的認証モジュールによって実行される場合、セキュリティポリシーコントローラは、システムの中の1つまたは複数のネットワークスライスのセキュリティポリシーを標的認証モジュールに送信し得る。1つまたは複数のネットワークスライスは、標的認証モジュールによってサービスされるネットワークスライスのうちの1つまたは複数であることがあり、実際の適用シナリオに基づいて特に決定されることがある。これは本明細書では限定されない。
特定の実装形態では、UEは第1のサービス要求をANに送信し得る。第1のサービス要求は、UEのセキュリティ能力と、UEがアタッチされるべき指定されたネットワークスライスの識別子とを搬送する。第1のサービス要求を受信した後で、ANは第2のサービス要求を認証モジュールに送信し得る。第2のサービス要求は、UEのセキュリティ能力と、UEがアタッチされるべき指定されたネットワークスライスの識別子とを搬送する。第2のサービス要求を受信した後で、認証モジュールは、UEとの相互認証を実行することがあり、次いで、UEがアタッチされるべきスライスのセキュリティポリシーを実行することがある。
いくつかの実現可能な実装形態において、標的認証モジュールは、第2のサービス要求において搬送されるUEのセキュリティ能力を使用することによって、UEによってサポートされる暗号化アルゴリズムおよび完全性保護アルゴリズムなどの情報を決定し得る。あるいは、標的認証モジュールは、ネットワークを使用することによって、UEのセキュリティ能力、具体的には、UEによってサポートされる暗号化アルゴリズムおよび完全性保護アルゴリズムなどの情報を取得し得る。標的認証モジュールはさらに、ANのセキュリティ能力、具体的には、ANによってサポートされる暗号化アルゴリズム、完全性保護アルゴリズムなどを取得し得る。ANのセキュリティ能力は、ANによって標的認証モジュールに送信され得る。たとえば、ANは、ANのセキュリティ能力を第2のサービス要求に追加し、第2のサービス要求を標的認証モジュールに送信し得る。特定の実装形態では、標的認証モジュールは、UEがアタッチされるべき指定されたネットワークスライスのセキュリティポリシー(すなわち、指定されたセキュリティポリシー)に従って鍵を生成することがあり、UEのセキュリティ能力、ANのセキュリティ能力、および指定されたセキュリティポリシーに基づいて、暗号化アルゴリズムおよび完全性保護アルゴリズムをさらに選択することがある。鍵は、少なくとも2つの鍵、たとえば第1の鍵および第2の鍵を含み得る。第1の鍵は、UEとANとの間のシグナリングを保護するために使用される鍵であることがあり、第2の鍵は、UEとAUとの間のシグナリングを保護するために使用される鍵であることがある。第1の鍵の長さおよび第2の鍵の長さは、指定されたセキュリティポリシーにおいて指定される鍵長と矛盾しない。暗号化アルゴリズムは、UEとANの両方によってサポートされる暗号化アルゴリズムの中で最高の選択優先順位を有する暗号化アルゴリズムであることがあり、完全性保護アルゴリズムは、UEとANの両方によってサポートされる完全性保護アルゴリズムの中で最高の選択優先順位を有する完全性保護アルゴリズムであることがある。
いくつかの実現可能な実装形態において、第1の鍵および第2の鍵を生成して標的暗号化アルゴリズムおよび標的完全性保護アルゴリズムを選択した後で、標的認証モジュールは、第2のサービス要求応答を使用することによって第1のセキュリティ構成情報をANに送信するために、第1の鍵、標的暗号化アルゴリズムの識別子、および標的完全性保護アルゴリズムの識別子に基づいて第1のセキュリティ構成を生成し、第1のセキュリティ構成を第2のサービス要求応答に追加し得る。第1のセキュリティ構成情報は、第1の鍵の使用範囲、標的暗号化アルゴリズムの識別子、および標的完全性保護アルゴリズムの識別子などの情報を含み得る。
いくつかの実現可能な実装形態において、標的認証モジュールによって送信される第2のサービス要求応答を受信した後で、ANは、第2のサービス要求応答において搬送される第1の構成情報に基づいて、鍵、および暗号化アルゴリズムの識別子または完全性保護アルゴリズムの識別子などの情報を決定し得る。第1のセキュリティ構成が、第1の鍵、暗号化アルゴリズムの識別子、および完全性保護アルゴリズムの識別子などの情報を搬送する場合、ANは、セキュリティポリシーを実行する必要はなく、鍵を直接記憶し、第1のセキュリティ構成において搬送される暗号化アルゴリズムの識別子および完全性保護アルゴリズムの識別子を第2のセキュリティ構成として決定し、第2のセキュリティ構成を第1のサービス要求応答に追加し、次いで、第2のセキュリティ構成をUEに通知するために第1のサービス要求応答をUEに送信し得る。
いくつかの実現可能な実装形態において、UEがアタッチされるべきスライスのセキュリティポリシーが標的認証モジュールおよびANによって共同で実行される場合、セキュリティポリシーコントローラは、標的認証モジュールによってサポートされる1つまたは複数のネットワークスライスのセキュリティポリシーを標的認証モジュールに送信することがあり、セキュリティポリシーコントローラはさらに、システムの中の各ネットワークスライスのセキュリティポリシーをANに送信することがある。標的認証モジュールは、第2のサービス要求において搬送されるUEのセキュリティ能力を使用することによって、UEによってサポートされる暗号化アルゴリズムおよび完全性保護アルゴリズムなどの情報を決定することがあり、UEのセキュリティ能力をANにさらに送信することがある。あるいは、標的認証モジュールおよびANは、ネットワークを使用することによって、UEのセキュリティ能力、具体的には、UEによってサポートされる暗号化アルゴリズムおよび完全性保護アルゴリズムなどの情報を取得し得る。特定の実装形態では、標的認証モジュールは、少なくとも2つの鍵、たとえば、指定されたセキュリティポリシーに従って第1の鍵および第2の鍵を生成し得る。さらに、標的認証モジュールは、第1の鍵の使用範囲および指定されたネットワークスライスの識別子などの情報に基づいて第1の構成を生成し、第1の構成を第2のサービス要求応答に追加し得る。
いくつかの実現可能な実装形態において、標的認証モジュールによって送信される第2のサービス要求応答を受信した後で、ANは、第2のサービス要求応答において搬送される第1の構成情報に基づいて、鍵、および暗号化アルゴリズムの識別子または完全性保護アルゴリズムの識別子などの情報を決定し得る。第1のセキュリティ構成が第1の鍵についての情報だけを搬送する場合、ANはセキュリティポリシーを実行する必要がある。具体的には、ANは、指定されたネットワークスライスの識別子に基づいて、指定されたネットワークスライスの識別子に対応する指定されたセキュリティポリシーを決定し、次いで、UEのセキュリティ能力および指定されたセキュリティポリシーに基づいて標的暗号化アルゴリズムおよび標的完全性保護アルゴリズムを選択し得る。さらに、ANは、標的暗号化アルゴリズムの識別子および標的完全性保護アルゴリズムの識別子を第1のセキュリティ構成に追加して、第2のセキュリティ構成を取得し、第2のセキュリティ構成を第1のサービス要求応答に追加し、第2のセキュリティ構成をUEに通知するために第1のサービス要求応答をUEに送信し得る。
特定の実装形態では、様々なモジュールが本発明のこの実施形態において提供される管理システムの様々な適用シナリオでセキュリティポリシーを実行する具体的な実装形態処理については、図8および図9に対応する実施形態のステップにおいて説明された実装形態を参照されたい。詳細は本明細書では再び説明されない。
本発明のこの実施形態では、認証プロトコルに従って選択された標的認証モジュールがセキュリティ構成を生成することがあり、または、認証プロトコルおよびANに従って選択された標的認証モジュールがセキュリティ構成を生成することがあるので、選択柔軟性が高く、サイバーセキュリティが改善される。
図19は、本発明の実施形態による、サイバーセキュリティ管理方法の概略フローチャートである。本発明のこの実施形態において提供される管理方法は以下のステップを含み得る。
S1901.ネットワーク機能選択モジュールが、ユーザ機器UEによって送信される第1のサービス要求を受信する。
第1のサービス要求が認証プロトコル情報を搬送する。
S1902.ネットワーク機能選択モジュールが、認証プロトコル情報に基づいて、ネットワークに含まれる少なくとも2つの認証モジュールから標的認証モジュールを選択する。
S1903.ネットワーク機能選択モジュールが、第2のサービス要求を標的認証モジュールに送信する。
いくつかの実現可能な実装形態において、認証プロトコル情報は、UEによって選択される第1の認証プロトコルの識別子を含み、
ネットワーク機能選択モジュールが、認証プロトコル情報に基づいて、ネットワークに含まれる少なくとも2つの認証モジュールから標的認証モジュールを選択することは、
ネットワーク機能選択モジュールによって、第1の認証プロトコルの識別子に基づいて、少なくとも2つの認証モジュールから第1の認証プロトコルをサポートする標的認証モジュールを選択することを含む。
いくつかの実現可能な実装形態において、1つより多くの認証モジュールが第1の認証プロトコルをサポートする場合、方法は、
第1の認証プロトコルをサポートする各認証モジュールの負荷状態に基づいて、最も負荷の小さい認証モジュールを認証モジュールから標的認証モジュールとして選択するステップをさらに含む。
いくつかの実現可能な実装形態において、認証プロトコル情報は、UEによって選択される第1の認証プロトコルの識別子を含み、
第1のサービス要求はさらに、指定されたネットワークスライスの識別子を搬送し、
ネットワーク機能選択モジュールが、認証プロトコル情報に基づいて、ネットワークに含まれる少なくとも2つの認証モジュールから標的認証モジュールを選択することは、
ネットワーク機能選択モジュールによって、第1の認証プロトコルの識別子および指定されたネットワークスライスの識別子に基づいて、少なくとも2つの認証モジュールから第1の認証プロトコルおよび指定されたネットワークスライスをサポートする標的認証モジュールを選択することを含む。
いくつかの実現可能な実装形態において、1つより多くの認証モジュールが第1の認証プロトコルおよび指定されたネットワークスライスをサポートする場合、方法は、
第1の認証プロトコルおよび指定されたネットワークスライスをサポートする各認証モジュールの負荷状態に基づいて、最も負荷の小さい認証モジュールを認証モジュールから標的認証モジュールとして選択するステップをさらに含む。
いくつかの実現可能な実装形態において、認証プロトコル情報は、UEによってサポートされる少なくとも2つの第2の認証プロトコルの識別子を含み、
ネットワーク機能選択モジュールが、認証プロトコル情報に基づいて、ネットワークに含まれる少なくとも2つの認証モジュールから標的認証モジュールを選択することは、
ネットワーク機能選択モジュールによって、第2の認証プロトコルの識別子に基づいて、少なくとも2つの認証モジュールから第2の認証プロトコルのうちの少なくとも1つをサポートする被選択候補の認証モジュールを、標的認証モジュールとして選択することを含む。
いくつかの実現可能な実装形態において、認証プロトコル情報は、UEによってサポートされる少なくとも2つの第2の認証プロトコルの識別子を含み、
第1のサービス要求はさらに、指定されたネットワークスライスの識別子を搬送し、
ネットワーク機能選択モジュールが、認証プロトコル情報に基づいて、ネットワークに含まれる少なくとも2つの認証モジュールから標的認証モジュールを選択することは、
ネットワーク機能選択モジュールによって、第2の認証プロトコルの識別子に基づいて、少なくとも2つの認証モジュールから第2の認証プロトコルのうちの少なくとも1つをサポートし指定されたネットワークスライスをサポートする被選択候補の認証モジュールを、標的認証モジュールとして選択することを含む。
いくつかの実現可能な実装形態において、認証プロトコル情報は、UEによってサポートされる少なくとも2つの第2の認証プロトコルの識別子を含み、
ネットワーク機能選択モジュールが、認証プロトコル情報に基づいて、ネットワークに含まれる少なくとも2つの認証モジュールから標的認証モジュールを選択することは、
ネットワーク機能選択モジュールによって、ネットワークにおいて設定される認証プロトコル選択優先順位に基づいて、UEによってサポートされる第2の認証プロトコルから最高の選択優先順位を有する認証プロトコルを決定し、最高の選択優先順位を有する認証プロトコルをサポートする被選択候補の認証モジュールを少なくとも2つの認証モジュールから標的認証モジュールとして選択することを含む。
いくつかの実現可能な実装形態において、1つより多くの被選択候補の認証モジュールがある場合、方法は、
1つより多くの被選択候補の認証モジュールの各々の負荷状態に基づいて、最も負荷の小さい認証モジュールを認証モジュールから標的認証モジュールとして選択するステップをさらに含む。
いくつかの実現可能な実装形態において、認証プロトコル情報は、UEによってサポートされる少なくとも2つの第3の認証プロトコルの識別子と、少なくとも2つの第3の認証プロトコルの各々の選択優先順位とを含み、
ネットワーク機能選択モジュールが、認証プロトコル情報に基づいて、ネットワークに含まれる少なくとも2つの認証モジュールから標的認証モジュールを選択することは、
ネットワーク機能選択モジュールによって、第3の認証プロトコルの識別子に基づいて、少なくとも2つの認証モジュールから第3の認証プロトコルのうちの少なくとも1つをサポートする被選択候補の認証モジュールを選択することと、
1つより多くの被選択候補の認証モジュールがある場合、各々の第3の認証プロトコルの選択優先順位に基づいて、最高の選択優先順位を有する第4の認証プロトコルをサポートする認証モジュールをすべての被選択候補の認証モジュールから標的認証モジュールとして選択することと
を含む。
いくつかの実現可能な実装形態において、認証プロトコル情報は、UEによってサポートされる少なくとも2つの第3の認証プロトコルの識別子と、少なくとも2つの第3の認証プロトコルの各々の選択優先順位とを含み、
第1のサービス要求はさらに、指定されたネットワークスライスの識別子を搬送し、
ネットワーク機能選択モジュールが、認証プロトコル情報に基づいて、ネットワークに含まれる少なくとも2つの認証モジュールから標的認証モジュールを選択することは、
ネットワーク機能選択モジュールによって、第3の認証プロトコルの識別子に基づいて、少なくとも2つの認証モジュールから第3の認証プロトコルのうちの少なくとも1つをサポートする第1の認証モジュールを選択することと、
1つより多くの第1の認証モジュールがある場合、各々の第3の認証プロトコルの選択優先順位に基づいて、最高の優先順位を有する第4の認証プロトコルをサポートする第2の認証モジュールをすべての第1の認証モジュールから選択することと、
1つより多くの第2の認証モジュールがある場合、各々の第2の認証モジュールの負荷状態または各々の第2の認証モジュールによってサービスされるネットワークスライスについての情報に基づいて、指定されたネットワークスライスにサービスする、最も負荷の小さい認証モジュールを、第2の認証モジュールから標的認証モジュールとして選択することと
を含む。
いくつかの実現可能な実装形態において、ネットワーク機能選択モジュールは、認証ユニットAU選択機能AUSF、AUルーティング機能AURF、スライス選択機能SSF、およびモビリティ管理MMのうちの少なくとも1つを含む。
特定の実装形態では、管理方法の各ステップにおいて説明される実装形態については、前述のシステムの各々の各適用シナリオに対応する実行方式を参照されたい。詳細は本明細書では再び説明されない。
図20は、本発明の実施形態による、サイバーセキュリティ管理方法の別の概略フローチャートである。本発明のこの実施形態において提供される管理方法は以下のステップを含み得る。
S2501.第2のネットワーク機能選択モジュールが、第1のネットワーク機能選択モジュールによって送信される認証モジュール選択要求を受信する。
認証モジュール選択要求はユーザ機器UEによって送信される認証プロトコル情報を搬送する。
前述の第1のサービス要求はユーザ機器UEによって送信される認証プロトコル情報を搬送する。
S2502.第2のネットワーク機能選択モジュールが、認証プロトコル情報に基づいて、ネットワークに含まれる少なくとも2つの認証モジュールから標的認証モジュールを選択する。
S2503.第2のネットワーク機能選択モジュールが、第1のネットワーク機能選択モジュールを使用することによってサービス要求を標的認証モジュールに送信するために、標的認証モジュールの識別子を第1のネットワーク機能選択モジュールに送信する。
本発明のこの実施形態では、第1のネットワーク機能選択モジュールがメッセージをルーティングすることがあり、第2のネットワーク機能選択モジュールが認証モジュール選択を実施するので、ネットワークシグナリングのオーバーヘッドが低減され得るとともに、認証モジュール選択効率が改善され得る。
図21は、本発明の実施形態による、サイバーセキュリティ管理方法の別の概略フローチャートである。本発明のこの実施形態において提供される管理方法は以下のステップを含み得る。
S2001.認証モジュールが、セキュリティポリシーコントローラによって配信されるネットワークスライスセキュリティポリシーを受信する。
S2002.認証モジュールが、アクセスネットワークANによって送信されるサービス要求を受信する。
サービス要求は、ユーザ機器UEのセキュリティ能力と、UEがアタッチされるべき指定されたネットワークスライスの識別子とを搬送する。
S2003.認証モジュールが、指定されたネットワークスライスの識別子に基づく指定されたネットワークスライスの指定されたセキュリティポリシーのために、セキュリティポリシーコントローラによって配信されるネットワークスライスセキュリティポリシーを探して、指定されたセキュリティポリシーに従ってセキュリティ構成を決定する。
S2004.認証モジュールがサービス要求応答をANに送信する。
サービス要求応答がセキュリティ構成を搬送する。
いくつかの実現可能な実装形態において、指定されたセキュリティポリシーは、鍵情報および暗号化アルゴリズム情報または完全性保護アルゴリズム情報を含み、
サービス要求はさらに、ユーザ機器UEのセキュリティ能力を搬送し、
指定されたセキュリティポリシーに従ってセキュリティ構成を決定することは、
指定されたネットワークスライスの指定されたセキュリティポリシーにおいて指定される鍵長を決定して、鍵長に対応する鍵を生成することと、
UEのセキュリティ能力、ANのセキュリティ能力、ならびに指定されたセキュリティポリシーに含まれる暗号化アルゴリズム情報および完全性保護アルゴリズム情報に基づいて、標的暗号化アルゴリズムまたは標的完全性保護アルゴリズムを選択することと、
鍵、および標的暗号化アルゴリズムの識別子または標的完全性保護アルゴリズムの識別子に基づいてセキュリティ構成を生成して、セキュリティ構成を第2のサービス要求応答に追加することと
を含む。
いくつかの実現可能な実装形態において、指定されたセキュリティポリシーは鍵情報を含み、
指定されたセキュリティポリシーに従ってセキュリティ構成を決定することは、
指定されたネットワークスライスの指定されたセキュリティポリシーにおいて指定される鍵長を決定し、鍵長に対応する鍵を生成し、鍵および指定されたネットワークスライスの識別子に基づいてセキュリティ構成を生成し、セキュリティ構成を第2のサービス要求応答に追加することを含む。
いくつかの実現可能な実装形態において、指定されたセキュリティポリシーは、暗号化アルゴリズム情報または完全性保護アルゴリズム情報を含み、
サービス要求はさらに、ユーザ機器UEのセキュリティ能力を搬送し、
指定されたセキュリティポリシーに従ってセキュリティ構成を決定することは、
UEのセキュリティ能力、ANのセキュリティ能力、ならびに指定されたセキュリティポリシーに含まれる暗号化アルゴリズム情報および完全性保護アルゴリズム情報に基づいて、標的暗号化アルゴリズムまたは標的完全性保護アルゴリズムを選択することと、
標的暗号化アルゴリズムの識別子または標的完全性保護アルゴリズムの識別子に基づいてセキュリティ構成を生成して、セキュリティ構成を第2のサービス要求応答に追加することと
を含む。
いくつかの実現可能な実装形態において、指定されたセキュリティポリシーに含まれる暗号化アルゴリズム情報は暗号化アルゴリズム選択優先順位であり、完全性保護アルゴリズム情報は完全性保護アルゴリズム選択優先順位であり、
標的暗号化アルゴリズムは、UEとANの両方によってサポートされる暗号化アルゴリズムの中で最高の選択優先順位を有する暗号化アルゴリズムであり、
標的完全性保護アルゴリズムは、UEとANの両方によってサポートされる完全性保護アルゴリズムの中で最高の選択優先順位を有する完全性保護アルゴリズムである。
いくつかの実現可能な実装形態において、認証モジュールは、認証ユニットAU、フロントエンド、およびアクセス制御エージェントACAのうちの少なくとも1つを含む。
特定の実装形態では、管理方法の各ステップにおいて説明される実装形態については、前述のシステムの各々の各適用シナリオに対応する実行方式を参照されたい。詳細は本明細書では再び説明されない。
図22は、本発明の実施形態による、サイバーセキュリティ管理方法の別の概略フローチャートである。本発明のこの実施形態において提供される管理方法は以下のステップを含み得る。
S2101.アクセスネットワークANが、ユーザ機器UEによって送信される第1のサービス要求を受信する。
第1のサービス要求は、UEのセキュリティ能力と、UEがアタッチされるべき指定されたネットワークスライスの識別子とを搬送する。
S2102.ANが第2のサービス要求を認証モジュールに送信する。
第2のサービス要求は、UEがアタッチされるべき指定されたネットワークスライスの識別子と、ANのセキュリティ能力と、UEのセキュリティ能力とを搬送する。
S2103.ANが、セキュリティポリシーコントローラによって配信されるネットワークスライスセキュリティポリシーを受信する。
S2104.ANが、認証モジュールによって送信される第2のサービス要求応答を受信する。
第2のサービス要求応答は、指定されたネットワークスライスの識別子、ANのセキュリティ能力、およびUEのセキュリティ能力に基づいて認証モジュールによって決定される第1のセキュリティ構成を搬送する。
S2105.ANが、第1のセキュリティ構成に基づいて第2のセキュリティ構成を決定し、第1のサービス要求応答をUEに送信する。
第1のサービス要求応答が第2のセキュリティ構成を搬送する。
いくつかの実現可能な実装形態において、第1のセキュリティ構成は、鍵、および暗号化アルゴリズムの識別子または完全性保護アルゴリズムの識別子を含み、
ANが第1のセキュリティ構成に基づいて第2のセキュリティ構成を決定することは、
ANによって鍵を記憶し、暗号化アルゴリズムの識別子および完全性保護アルゴリズムの識別子を第1のセキュリティ構成から取得し、暗号化アルゴリズムの識別子および完全性保護アルゴリズムの識別子に基づいて第2のセキュリティ構成を生成することを含む。
特定の実装形態では、管理方法の各ステップにおいて説明される実装形態については、前述のシステムの各々の各適用シナリオに対応する実行方式を参照されたい。詳細は本明細書では再び説明されない。
図23は、本発明の実施形態による、サイバーセキュリティ管理方法の別の概略フローチャートである。本発明のこの実施形態において提供される管理方法は以下のステップを含み得る。
S2601.アクセスネットワークANが、ユーザ機器UEによって送信される第1のサービス要求を受信する。
第1のサービス要求は、UEのセキュリティ能力と、UEがアタッチされるべき指定されたネットワークスライスの識別子とを搬送する。
S2602.ANが第2のサービス要求を認証モジュールに送信する。
第2のサービス要求は、UEがアタッチされるべき指定されたネットワークスライスの識別子を搬送する。
S2603.ANが、認証モジュールによって送信される第2のサービス要求応答を受信する。
S2604.ANが、UEのセキュリティ能力および指定されたネットワークスライスの識別子に対応する指定されたセキュリティポリシーに基づいて第2のセキュリティ構成を決定し、第1のサービス要求応答をUEに送信する。
第1のサービス要求応答が第2のセキュリティ構成を搬送する。
いくつかの実現可能な実装形態において、ANが、UEのセキュリティ能力および指定されたネットワークスライスの識別子に対応する指定されたセキュリティポリシーに基づいて第2のセキュリティ構成を決定することは、
ANによって、指定されたネットワークスライスの識別子に基づいて指定されたセキュリティポリシーを決定することと、
ANのセキュリティ能力、UEのセキュリティ能力、および指定されたセキュリティポリシーに基づいて標的暗号化アルゴリズムまたは標的完全性保護アルゴリズムを選択し、標的暗号化アルゴリズムの識別子または標的完全性保護アルゴリズムの識別子に基づいて第2のセキュリティ構成を生成することと
を含む。
いくつかの実現可能な実装形態において、指定されたセキュリティポリシーに含まれる暗号化アルゴリズム情報は暗号化アルゴリズム選択優先順位であり、完全性保護アルゴリズム情報は完全性保護アルゴリズム選択優先順位であり、
標的暗号化アルゴリズムは、UEとANの両方によってサポートされる暗号化アルゴリズムの中で最高の選択優先順位を有する暗号化アルゴリズムであり、
標的完全性保護アルゴリズムは、UEとANの両方によってサポートされる完全性保護アルゴリズムの中で最高の選択優先順位を有する完全性保護アルゴリズムである。
特定の実装形態では、管理方法の各ステップにおいて説明される実装形態については、前述のシステムの各々の各適用シナリオに対応する実行方式を参照されたい。詳細は本明細書では再び説明されない。
図24は、本発明の実施形態による、サイバーセキュリティ管理装置の概略構造図である。図24に示されるように、本発明のこの実施形態において提供される管理装置は、具体的には、本発明の実施形態において提供されるネットワーク管理選択モジュールであり得る。管理装置は、
ユーザ機器UEによって送信される第1のサービス要求を受信するように構成される受信ユニット221であって、第1のサービス要求が認証プロトコル情報を搬送する、受信ユニット221と、
受信ユニットによって受信される認証プロトコル情報に基づいて、ネットワークに含まれる少なくとも2つの認証モジュールから標的認証モジュールを選択するように構成される選択ユニット222と、
選択ユニットによって選択される標的認証モジュールに第2のサービス要求を送信するように構成される送信ユニット223と
を含み得る。
いくつかの実現可能な実装形態において、認証プロトコル情報は、UEによって選択される第1の認証プロトコルの識別子を含み、
選択ユニット222は特に、
第1の認証プロトコルの識別子に基づいて、少なくとも2つの認証モジュールから第1の認証プロトコルをサポートする標的認証モジュールを選択する
ように構成される。
いくつかの実現可能な実装形態において、1つより多くの認証モジュールが第1の認証プロトコルをサポートする場合、
選択ユニット222は特に、
第1の認証プロトコルをサポートする各認証モジュールの負荷状態に基づいて、最も負荷の小さい認証モジュールを認証モジュールから標的認証モジュールとして選択する
ように構成される。
いくつかの実現可能な実装形態において、認証プロトコル情報は、UEによって選択される第1の認証プロトコルの識別子を含み、
第1のサービス要求はさらに、指定されたネットワークスライスの識別子を搬送し、
選択ユニット222は特に、
第1の認証プロトコルの識別子および指定されたネットワークスライスの識別子に基づいて、少なくとも2つの認証モジュールから第1の認証プロトコルおよび指定されたネットワークスライスをサポートする標的認証モジュールを選択する
ように構成される。
いくつかの実現可能な実装形態において、1つより多くの認証モジュールが第1の認証プロトコルおよび指定されたネットワークスライスをサポートする場合、選択ユニット222は特に、
第1の認証プロトコルおよび指定されたネットワークスライスをサポートする各認証モジュールの負荷状態に基づいて、最も負荷の小さい認証モジュールを認証モジュールから標的認証モジュールとして選択する
ように構成される。
認証プロトコル情報は、UEによってサポートされる少なくとも2つの第2の認証プロトコルの識別子を含み、
選択ユニット222は特に、
第2の認証プロトコルの識別子に基づいて、第2の認証プロトコルのうちの少なくとも1つをサポートする被選択候補の認証モジュールを、少なくとも2つの認証モジュールから標的認証モジュールとして選択する
ように構成される。
いくつかの実現可能な実装形態において、認証プロトコル情報は、UEによってサポートされる少なくとも2つの第2の認証プロトコルの識別子を含み、
第1のサービス要求はさらに、指定されたネットワークスライスの識別子を搬送し、
選択ユニット222は特に、
第2の認証プロトコルの識別子に基づいて、第2の認証プロトコルのうちの少なくとも1つをサポートし指定されたネットワークスライスをサポートする被選択候補の認証モジュールを、少なくとも2つの認証モジュールから標的認証モジュールとして選択する
ように構成される。
いくつかの実現可能な実装形態において、認証プロトコル情報は、UEによってサポートされる少なくとも2つの第2の認証プロトコルの識別子を含み、
選択ユニット222は特に、
ネットワークにおいて設定される認証プロトコル選択優先順位に基づいて、UEによってサポートされる第2の認証プロトコルから最高の選択優先順位を有する認証プロトコルを決定し、最高の選択優先順位を有する認証プロトコルをサポートする被選択候補の認証モジュールを少なくとも2つの認証モジュールから標的認証モジュールとして選択する
ように構成される。
いくつかの実現可能な実装形態において、1つより多くの被選択候補の認証モジュールがある場合、選択ユニット222は特に、
1つより多くの被選択候補の認証モジュールの各々の負荷状態に基づいて、最も負荷の小さい認証モジュールを認証モジュールから標的認証モジュールとして選択する
ように構成される。
いくつかの実現可能な実装形態において、認証プロトコル情報は、UEによってサポートされる少なくとも2つの第3の認証プロトコルの識別子と、少なくとも2つの第3の認証プロトコルの各々の選択優先順位とを含み、
選択ユニット222は特に、
第3の認証プロトコルの識別子に基づいて、少なくとも2つの認証モジュールから第3の認証プロトコルのうちの少なくとも1つをサポートする被選択候補の認証モジュールを選択し、
1つより多くの被選択候補の認証モジュールがある場合、各々の第3の認証プロトコルの選択優先順位に基づいて、最高の選択優先順位を有する第4の認証プロトコルをサポートする認証モジュールをすべての被選択候補の認証モジュールから標的認証モジュールとして選択する
ように構成される。
いくつかの実現可能な実装形態において、認証プロトコル情報は、UEによってサポートされる少なくとも2つの第3の認証プロトコルの識別子と、少なくとも2つの第3の認証プロトコルの各々の選択優先順位とを含み、
第1のサービス要求はさらに、指定されたネットワークスライスの識別子を搬送し、
選択ユニット222は特に、
第3の認証プロトコルの識別子に基づいて、少なくとも2つの認証モジュールから第3の認証プロトコルのうちの少なくとも1つをサポートする第1の認証モジュールを選択し、
1つより多くの第1の認証モジュールがある場合、各々の第3の認証プロトコルの選択優先順位に基づいて、最高の優先順位を有する第4の認証プロトコルをサポートする第2の認証モジュールをすべての第1の認証モジュールから選択し、
1つより多くの第2の認証モジュールがある場合、各々の第2の認証モジュールの負荷状態または各々の第2の認証モジュールによってサービスされるネットワークスライスについての情報に基づいて、指定されたネットワークスライスにサービスする、最も負荷の小さい認証モジュールを、第2の認証モジュールから標的認証モジュールとして選択する
ように構成される。
いくつかの実現可能な実装形態において、選択ユニット222は第1のサブユニットおよび第2のサブユニットを含み、
第1のサブユニットは、UEによって送信される第1のサービス要求を受信し、認証モジュール選択要求を第2のサブユニットに送信するように構成され、認証モジュール選択要求は認証プロトコル情報を搬送し、
第2のサブユニットは、認証プロトコル情報に基づいて少なくとも2つの認証モジュールから標的認証モジュールを選択し、標的認証モジュールの識別子を第1のサブユニットに送信するように構成され、
第1のサブユニットはさらに、標的認証モジュールの識別子に対応する標的認証モジュールに第2のサービス要求を送信するように構成される。
いくつかの実現可能な実装形態において、第2のサブユニットは特に、選択ユニットによって実行される実装形態のうちのいずれか1つを実行するように構成される。
いくつかの実現可能な実装形態において、選択ユニット222は、認証ユニットAU選択機能AUSF、AUルーティング機能AURF、スライス選択機能SSF、およびモビリティ管理MMのうちの少なくとも1つを含む。
いくつかの実現可能な実装形態において、第1のサブユニットはAURFであり、第2のサブユニットはAUSFである。
特定の実装形態では、管理方法の各ステップにおいて説明される実装形態については、前述のシステムの各々の各適用シナリオに対応する実行方式を参照されたい。詳細は本明細書では再び説明されない。
図25は、本発明の実施形態による、サイバーセキュリティ管理装置の別の概略構造図である。図25に示されるように、本発明のこの実施形態において提供される管理装置は、具体的には、本発明の実施形態において提供される認証モジュールであり得る。管理装置は、
セキュリティポリシーコントローラによって配信されるネットワークスライスセキュリティポリシーを受信するように構成される受信ユニット231であって、
受信ユニット231が、アクセスネットワークANによって送信されるサービス要求を受信するようにさらに構成され、サービス要求が、ユーザ機器UEのセキュリティ能力と、UEがアタッチされるべき指定されたネットワークスライスの識別子とを搬送する、受信ユニット231と、
受信ユニット231によって受信される指定されたネットワークスライスの識別子に基づく指定されたネットワークスライスの指定されたセキュリティポリシーのために、セキュリティポリシーコントローラによって配信されるネットワークスライスセキュリティポリシーを探して、指定されたセキュリティポリシーに従ってセキュリティ構成を決定するように構成される実行ユニット232と、
サービス要求応答をANに送信するように構成される送信ユニット233であって、サービス要求応答は実行ユニット232によって決定されるセキュリティ構成を搬送する、送信ユニット233と
を含むことがある。
いくつかの実現可能な実装形態において、指定されたセキュリティポリシーは、鍵情報、および暗号化アルゴリズム情報または完全性保護アルゴリズム情報を含み、
サービス要求はさらに、ユーザ機器UEのセキュリティ能力を搬送し、
実行ユニット232は特に、
指定されたネットワークスライスの指定されたセキュリティポリシーにおいて指定される鍵長を決定して、鍵長に対応する鍵を生成し、
UEのセキュリティ能力、ANのセキュリティ能力、および指定されたセキュリティポリシーに含まれる暗号化アルゴリズム情報または完全性保護アルゴリズム情報に基づいて、標的暗号化アルゴリズムまたは標的完全性保護アルゴリズムを選択し、
鍵、および標的暗号化アルゴリズムの識別子または標的完全性保護アルゴリズムの識別子に基づいてセキュリティ構成を生成して、セキュリティ構成を第2のサービス要求応答に追加する
ように構成される。
いくつかの実現可能な実装形態において、指定されたセキュリティポリシーは鍵情報を含み、
実行ユニット232は特に、
指定されたネットワークスライスの指定されたセキュリティポリシーにおいて指定される鍵長を決定し、鍵長に対応する鍵を生成し、鍵および指定されたネットワークスライスの識別子に基づいてセキュリティ構成を生成し、セキュリティ構成を第2のサービス要求応答に追加する
ように構成される。
いくつかの実現可能な実装形態において、指定されたセキュリティポリシーは、暗号化アルゴリズム情報または完全性保護アルゴリズム情報を含み、
サービス要求はさらに、ユーザ機器UEのセキュリティ能力を搬送し、
実行ユニットは特に、
UEのセキュリティ能力、ANのセキュリティ能力、および指定されたセキュリティポリシーに含まれる暗号化アルゴリズム情報または完全性保護アルゴリズム情報に基づいて、標的暗号化アルゴリズムまたは標的完全性保護アルゴリズムを選択し、
暗号化アルゴリズムの識別子または完全性保護アルゴリズムの識別子に基づいてセキュリティ構成を生成して、セキュリティ構成を第2のサービス要求応答に追加する
ように構成される。
いくつかの実現可能な実装形態において、指定されたセキュリティポリシーに含まれる暗号化アルゴリズム情報は暗号化アルゴリズム選択優先順位であり、完全性保護アルゴリズム情報は完全性保護アルゴリズム選択優先順位であり、
標的暗号化アルゴリズムは、UEとANの両方によってサポートされる暗号化アルゴリズムの中で最高の選択優先順位を有する暗号化アルゴリズムであり、
標的完全性保護アルゴリズムは、UEとANの両方によってサポートされる完全性保護アルゴリズムの中で最高の選択優先順位を有する完全性保護アルゴリズムである。
いくつかの実現可能な実装形態において、実行ユニット232は、認証ユニットAU、フロントエンド、およびアクセス制御エージェントACAのうちの少なくとも1つを含む。
特定の実装形態では、管理方法の各ステップにおいて説明される実装形態については、前述のシステムの各々の各適用シナリオに対応する実行方式を参照されたい。詳細は本明細書では再び説明されない。
図26は、本発明の実施形態による、サイバーセキュリティ管理装置の別の概略構造図である。図26に示されるように、本発明のこの実施形態において提供される管理装置は、具体的には、本発明の実施形態において提供されるAN(またはRAN)であり得る。管理装置は、
ユーザ機器UEによって送信される第1のサービス要求を受信するように構成される受信ユニット241であって、第1のサービス要求が、UEのセキュリティ能力と、UEがアタッチされるべき指定されたネットワークスライスの識別子とを搬送する、受信ユニット241と、
受信ユニットによって受信される第1のサービス要求に基づいて第2のサービス要求を認証モジュールに送信するように構成される送信ユニット242であって、第2のサービス要求が、UEがアタッチされるべき指定されたネットワークスライスの識別子と、ANのセキュリティ能力と、UEのセキュリティ能力とを搬送し、
受信ユニット241がさらに、セキュリティポリシーコントローラによって配信されるネットワークスライスセキュリティポリシーを受信するように構成され、
受信ユニット241がさらに、認証モジュールによって送信される第2のサービス要求応答を受信するように構成され、第2のサービス要求応答が、指定されたネットワークスライスの識別子、ANのセキュリティ能力、およびUEのセキュリティ能力に基づいて認証モジュールによって決定される第1のセキュリティ構成を搬送する、送信ユニット242と、
受信ユニットによって受信される第1のセキュリティ構成に基づいて第2のセキュリティ構成を決定するように構成される処理ユニット243と
を含むことがあり、
送信ユニット242がさらに、第1のサービス要求応答をUEに送信するように構成され、第1のサービス要求応答が処理ユニットによって決定される第2のセキュリティ構成を搬送する。
いくつかの実現可能な実装形態において、第1のセキュリティ構成は、鍵、および暗号化アルゴリズムの識別子または完全性保護アルゴリズムの識別子を含み、
処理ユニット243は特に、
鍵を記憶し、暗号化アルゴリズムの識別子または完全性保護アルゴリズムの識別子を第1のセキュリティ構成から取得し、暗号化アルゴリズムの識別子または完全性保護アルゴリズムの識別子に基づいて第2のセキュリティ構成を生成する
ように構成される。
特定の実装形態では、管理方法の各ステップにおいて説明される実装形態については、前述のシステムの各々の各適用シナリオに対応する実行方式を参照されたい。詳細は本明細書では再び説明されない。
図27は、本発明の実施形態による、サイバーセキュリティ管理装置の別の概略構造図である。図27に示されるように、本発明のこの実施形態において提供される管理装置は、具体的には、本発明の実施形態において提供されるAN(またはRAN)であり得る。管理装置は、
ユーザ機器UEによって送信される第1のサービス要求を受信するように構成される受信ユニット271であって、第1のサービス要求が、UEのセキュリティ能力と、UEがアタッチされるべき指定されたネットワークスライスの識別子とを搬送する、受信ユニット271と、
受信ユニットによって受信される第1のサービス要求に基づいて第2のサービス要求を認証モジュールに送信するように構成される送信ユニット272であって、第2のサービス要求が、UEがアタッチされるべき指定されたネットワークスライスの識別子を搬送し、
受信ユニット271がさらに、認証モジュールによって送信される第2のサービス要求応答を受信するように構成される、送信ユニット272と、
受信ユニットによって受信されるUEのセキュリティ能力および指定されたネットワークスライスの識別子に対応する指定されたセキュリティポリシーに基づいて第2のセキュリティ構成を決定するように構成される処理ユニット273と
を含むことがあり、
送信ユニット272がさらに、第1のサービス要求応答をUEに送信するように構成され、第1のサービス要求応答が処理ユニットによって決定される第2のセキュリティ構成を搬送する。
いくつかの実現可能な実装形態において、処理ユニットは特に、
指定されたネットワークスライスの識別子に基づいて指定されたセキュリティポリシーを決定し、
ANのセキュリティ能力、UEのセキュリティ能力、および指定されたセキュリティポリシーに基づいて標的暗号化アルゴリズムまたは標的完全性保護アルゴリズムを選択し、標的暗号化アルゴリズムの識別子または標的完全性保護アルゴリズムの識別子に基づいて第2のセキュリティ構成を生成する
ように構成される。
いくつかの実現可能な実装形態において、指定されたセキュリティポリシーに含まれる暗号化アルゴリズム情報は暗号化アルゴリズム選択優先順位であり、完全性保護アルゴリズム情報は完全性保護アルゴリズム選択優先順位であり、
標的暗号化アルゴリズムは、UEとANの両方によってサポートされる暗号化アルゴリズムの中で最高の選択優先順位を有する暗号化アルゴリズムであり、
標的完全性保護アルゴリズムは、UEとANの両方によってサポートされる完全性保護アルゴリズムの中で最高の選択優先順位を有する完全性保護アルゴリズムである。
特定の実装形態では、管理方法の各ステップにおいて説明される実装形態については、前述のシステムの各々の各適用シナリオに対応する実行方式を参照されたい。詳細は本明細書では再び説明されない。
本発明の明細書、特許請求の範囲、および添付の図面において、「第1の」、「第2の」、「第3の」、「第4の」などの用語は、異なる対象物を区別することが意図されており、特定の順序を示さない。その上、「含む(include)」、「含む(contain)」という用語、およびこれらのあらゆる他の変形は、非排他的な包含をカバーすることが意図されている。たとえば、一連のステップまたはユニットを含む、処理、方法、システム、製品、もしくはデバイスは、列挙されたステップもしくはユニットに限定されず、任意選択で、列挙されないステップもしくはユニットをさらに含み、または、任意選択で、そのプロセス、方法、システム、製品、もしくはデバイスの別の固有のステップもしくはユニットをさらに含む。
当業者は、実施形態の方法の処理のすべてまたは一部が関連するハードウェアに指示するコンピュータプログラムによって実施され得ることを、理解し得る。プログラムはコンピュータ可読記憶媒体に記憶され得る。プログラムが動作すると、実施形態の方法の処理が実行され得る。記憶媒体は、磁気ディスク、光学ディスク、読取り専用メモリ(Read−Only Memory,ROM)、ランダムアクセスメモリ(Random Access Memory,RAM)などを含み得る。
上で開示されることは、本発明の実施形態の例にすぎず、当然、本発明の特許請求の範囲を限定することは意図されていない。したがって、本発明の特許請求の範囲に従って行われる等価な変形が、本発明の範囲に入るものとする。
本発明は、通信技術の分野に関し、より具体的には、サイバーセキュリティ管理システム、方法、および装置に関する。
4Gネットワークでは、異なる要件を伴うサービス、ネットワーク賃借、ネットワーク共有などをサポートするために、複数の専用コアネットワークがアクセスネットワークを共有することがある。各々の専用コアネットワークは、サービスの機能および性能に対する差別化された要件を満たすために、機能および性能について特定のサービスに最適化される。図1は、4G専用コアネットワークの概略的なアーキテクチャ図である。アクセスネットワークは複数の事業者に接続されることがあり、各事業者は専用コアネットワーク(DCN)を有することがあり、複数のDNCがアクセスネットワークを共有する。ユーザ機器(UE)は、アクセスネットワークに接続され、アクセスネットワークを使用することによって各事業者の専用コアネットワークとの業務サービスなどの対話を実施する。5Gネットワークでは、「ネットワークスライス」(「スライス」)と呼ばれる複数の論理ネットワークがある。異なるスライスは、機能および性能要件が異なるだけではなく、セキュリティ要件も異なることがある。
5Gネットワークにおけるスライスアーキテクチャに対する従来技術の考え方では、UEは同時に複数のスライスにアクセスすることがあり、ネットワークは、UEがアタッチされるべきスライスのスライス情報または認証ユニット(AU)の負荷状態に基づいてAUを選択し、次いで、選択されたAUを使用することによってUEとの認証を実施し、または、たとえば標的スライスにアクセスするための動作を実行することをUEに認可する。従来技術では、AU選択の間、UEによってサポートされる認証プロトコルまたはアルゴリズムなどの情報が考慮されず、関連する設計の欠如がある。その結果、サイバーセキュリティがより良く保証されることが可能ではない。
本出願は、ネットワークの差別化された認証プロトコルおよびセキュリティポリシーセキュリティ要件を満たし、サイバーセキュリティを改善するための、サイバーセキュリティ管理システム、方法、および装置を提供する。
第1の態様によれば、サイバーセキュリティ管理システムが提供され、この管理システムは、少なくとも2つのネットワークスライスを含むネットワークのセキュリティ管理を実施するように構成され、このシステムは、ユーザ機器UEと、アクセスネットワークANと、ネットワーク機能選択モジュールと、少なくとも2つの認証モジュールとを含むことがあり、
UEが第1のサービス要求をネットワーク機能選択モジュールに送信するように構成され、第1のサービス要求が認証プロトコル情報を搬送し、
ネットワーク機能選択モジュールが、認証プロトコル情報に基づいて少なくとも2つの認証モジュールから標的認証モジュールを選択し、第2のサービス要求を標的認証モジュールに送信するように構成され、
標的認証モジュールが、第2のサービス要求を受信し、UEとの相互認証を実行するように構成され、
標的認証モジュールがさらに、UEがアタッチされるべき指定されたネットワークスライスの指定されたセキュリティポリシーに従って第1のセキュリティ構成を決定し、第2のサービス要求応答をANに送信するように構成され、第2のサービス要求応答が第1のセキュリティ構成を搬送し、
ANが、第1のセキュリティ構成または指定されたセキュリティポリシーに基づいて第2のセキュリティ構成を決定し、第1のサービス要求応答をUEに送信するように構成され、第1のサービス要求応答が第2のセキュリティ構成を搬送する。
本出願では、ネットワーク機能選択モジュールが、UEによってサポートされる認証プロトコルについての情報に基づいて、UEによってサポートされる認証プロトコルをサポートする認証モジュールを選択することがあり、次いで、認証モジュールが、UEとの相互認証を実行することがあり、これにより、認証モジュール選択精度およびサイバーセキュリティを改善する。本出願では、認証プロトコルに従って選択された標的認証モジュールがセキュリティ構成を生成することがあり、または、認証プロトコルおよびANに従って選択された標的認証モジュールがセキュリティ構成を生成することがあるので、選択柔軟性が高い。
第1の態様に関して、第1の可能な実装形態において、認証プロトコル情報は、UEによって選択される第1の認証プロトコルの識別子を含み、
ネットワーク機能選択モジュールは特に、
第1の認証プロトコルの識別子に基づいて、少なくとも2つの認証モジュールから第1の認証プロトコルをサポートする標的認証モジュールを選択する
ように構成される。
第1の態様の第1の可能な実装形態に関して、第2の可能な実装形態において、1つより多くの認証モジュールが第1の認証プロトコルをサポートする場合、ネットワーク機能選択モジュールは特に、
第1の認証プロトコルをサポートする各認証モジュールの負荷状態に基づいて、最も負荷の小さい認証モジュールを認証モジュールから標的認証モジュールとして選択する
ように構成される。あるいは、負荷が事前設定された閾値より小さい認証モジュールが、すべての認証モジュールから標的認証モジュールとして選択されることが、指摘されるべきである。言い換えると、負荷が事前設定された閾値より小さい複数の認証モジュールがある場合、負荷が事前設定された閾値より小さい複数の認証モジュールから認証モジュールがランダムに選択されることがあり、最も負荷の小さい認証モジュールが標的認証モジュールとして選択される必要は必ずしもない。
第1の態様に関して、第3の可能な実装形態において、認証プロトコル情報は、UEによって選択される第1の認証プロトコルの識別子を含み、
第1のサービス要求はさらに、指定されたネットワークスライスの識別子を搬送し、
ネットワーク機能選択モジュールは特に、
第1の認証プロトコルの識別子および指定されたネットワークスライスの識別子に基づいて、少なくとも2つの認証モジュールから第1の認証プロトコルおよび指定されたネットワークスライスをサポートする標的認証モジュールを選択する
ように構成される。
第1の態様の第3の可能な実装形態に関して、第4の可能な実装形態において、1つより多くの認証モジュールが第1の認証プロトコルおよび指定されたネットワークスライスをサポートする場合、ネットワーク機能選択モジュールは特に、
第1の認証プロトコルおよび指定されたネットワークスライスをサポートする各認証モジュールの負荷状態に基づいて、最も負荷の小さい認証モジュールを認証モジュールから標的認証モジュールとして選択する
ように構成される。
第1の態様に関して、第5の可能な実装形態において、認証プロトコル情報は、UEによってサポートされる少なくとも2つの第2の認証プロトコルの識別子を含み、
ネットワーク機能選択モジュールは特に、
第2の認証プロトコルの識別子に基づいて、第2の認証プロトコルのうちの少なくとも1つをサポートする被選択候補の認証モジュールを、少なくとも2つの認証モジュールから標的認証モジュールとして選択する
ように構成される。
第1の態様に関して、第6の可能な実装形態において、認証プロトコル情報は、UEによってサポートされる少なくとも2つの第2の認証プロトコルの識別子を含み、
第1のサービス要求はさらに、指定されたネットワークスライスの識別子を搬送し、
ネットワーク機能選択モジュールは特に、
第2の認証プロトコルの識別子に基づいて、第2の認証プロトコルのうちの少なくとも1つをサポートし指定されたネットワークスライスをサポートする被選択候補の認証モジュールを、少なくとも2つの認証モジュールから標的認証モジュールとして選択する
ように構成される。
第1の態様に関して、第7の可能な実装形態において、認証プロトコル情報は、UEによってサポートされる少なくとも2つの第2の認証プロトコルの識別子を含み、
ネットワーク機能選択モジュールは特に、
ネットワークにおいて設定される認証プロトコル選択優先順位に基づいて、UEによってサポートされる第2の認証プロトコルから最高の選択優先順位を有する認証プロトコルを決定し、最高の選択優先順位を有する認証プロトコルをサポートする被選択候補の認証モジュールを少なくとも2つの認証モジュールから標的認証モジュールとして選択する
ように構成される。
第1の態様の第5の可能な実装形態から第7の可能な実装形態のいずれか1つに関して、第8の可能な実装形態において、1つより多くの被選択候補の認証モジュールがある場合、ネットワーク機能選択モジュールは特に、
1つより多くの被選択候補の認証モジュールの各々の負荷状態に基づいて、最も負荷の小さい認証モジュールを認証モジュールから標的認証モジュールとして選択する
ように構成される。
第1の態様に関して、第9の可能な実装形態において、認証プロトコル情報は、UEによってサポートされる少なくとも2つの第3の認証プロトコルの識別子と、少なくとも2つの第3の認証プロトコルの各々の選択優先順位とを含み、
ネットワーク機能選択モジュールは特に、
第3の認証プロトコルの識別子に基づいて、少なくとも2つの認証モジュールから第3の認証プロトコルのうちの少なくとも1つをサポートする被選択候補の認証モジュールを選択し、
1つより多くの被選択候補の認証モジュールがある場合、各々の第3の認証プロトコルの選択優先順位に基づいて、最高の選択優先順位を有する第4の認証プロトコルをサポートする認証モジュールをすべての被選択候補の認証モジュールから標的認証モジュールとして選択する
ように構成される。
第1の態様に関して、第10の可能な実装形態において、認証プロトコル情報は、UEによってサポートされる少なくとも2つの第3の認証プロトコルの識別子と、少なくとも2つの第3の認証プロトコルの各々の選択優先順位とを含み、
第1のサービス要求はさらに、指定されたネットワークスライスの識別子を搬送し、
ネットワーク機能選択モジュールは特に、
第3の認証プロトコルの識別子に基づいて、少なくとも2つの認証モジュールから第3の認証プロトコルのうちの少なくとも1つをサポートする第1の認証モジュールを選択し、
1つより多くの第1の認証モジュールがある場合、各々の第3の認証プロトコルの選択優先順位に基づいて、最高の優先順位を有する第4の認証プロトコルをサポートする第2の認証モジュールをすべての第1の認証モジュールから選択し、
1つより多くの第2の認証モジュールがある場合、各々の第2の認証モジュールの負荷状態または各々の第2の認証モジュールによってサービスされるネットワークスライスについての情報に基づいて、指定されたネットワークスライスにサービスする、最も負荷の小さい認証モジュールを、第2の認証モジュールから標的認証モジュールとして選択する
ように構成される。
第1の態様に関して、第11の可能な実装形態において、ネットワーク機能選択モジュールは、第1のサブモジュールおよび第2のサブモジュールを含み、
第1のサブモジュールは、UEによって送信される第1のサービス要求を受信し、認証モジュール選択要求を第2のサブモジュールに送信するように構成され、認証モジュール選択要求は認証プロトコル情報を搬送し、
第2のサブモジュールは、認証プロトコル情報に基づいて少なくとも2つの認証モジュールから標的認証モジュールを選択し、標的認証モジュールの識別子を第1のサブモジュールに送信するように構成され、
第1のサブモジュールはさらに、標的認証モジュールの識別子に対応する標的認証モジュールに第2のサービス要求を送信するように構成される。
第1の態様の第11の可能な実装形態に関して、第12の可能な実装形態において、第2のサブモジュールは特に、前述の様々な可能な実装形態においてネットワーク機能選択モジュールによって実行される実装形態を実行するように構成される。
第1の態様の第1の可能な実装形態から第10の可能な実装形態のいずれか1つに関して、第13の可能な実装形態において、管理システムはセキュリティポリシーコントローラをさらに含み、
セキュリティポリシーコントローラは、ネットワークスライスセキュリティポリシーを認証モジュールまたはANに配信するように構成される。
第1の態様の第13の可能な実装形態に関して、第14の可能な実装形態において、セキュリティポリシーコントローラは、ネットワークスライスセキュリティポリシーを認証モジュールに配信するように構成され、
第2のサービス要求はさらに、UEのセキュリティ能力およびANのセキュリティ能力を搬送し、
標的認証モジュールはさらに、
指定されたネットワークスライスに対応する指定されたセキュリティポリシーにおいて指定される鍵長を決定して、鍵長に対応する鍵を生成し、
UEのセキュリティ能力、ANのセキュリティ能力、および指定されたセキュリティポリシーに基づいて、標的暗号化アルゴリズムまたは標的完全性保護アルゴリズムを選択し、
鍵、および標的暗号化アルゴリズムの識別子または標的完全性保護アルゴリズムの識別子を使用することによって第1のセキュリティ構成を生成して、第1のセキュリティ構成を第2のサービス要求応答に追加する
ように構成され、
ANは特に、
第2のセキュリティ構成として、第1のセキュリティ構成において搬送される標的暗号化アルゴリズムの識別子または標的完全性保護アルゴリズムの識別子を決定して、第2のセキュリティ構成を第1のサービス要求応答に追加する
ように構成される。
第1の態様の第13の可能な実装形態に関して、第15の可能な実装形態において、セキュリティポリシーコントローラは、ネットワークスライスセキュリティポリシーを認証モジュールおよびANに配信するように構成され、
第2のサービス要求はさらに、UEのセキュリティ能力を搬送し、
標的認証モジュールはさらに、
指定されたネットワークスライスの指定されたセキュリティポリシーにおいて指定される鍵長を決定し、鍵長に対応する鍵を生成し、鍵および指定されたネットワークスライスの識別子に基づいて第1のセキュリティ構成を生成し、第1のセキュリティ構成を第2のサービス要求応答に追加する
ように構成され、
ANは特に、
指定されたネットワークスライスの識別子に基づいて指定されたセキュリティポリシーを決定し、ANのセキュリティ能力、UEのセキュリティ能力、および指定されたセキュリティポリシーに基づいて、標的暗号化アルゴリズムまたは標的完全性保護アルゴリズムを選択し、
第2のセキュリティ構成を取得するために、標的暗号化アルゴリズムの識別子または標的完全性保護アルゴリズムの識別子を第1のセキュリティ構成に追加する
ように構成される。
第1の態様の第13の可能な実装形態に関して、第16の可能な実装形態において、セキュリティポリシーコントローラは、ネットワークスライスセキュリティポリシーを認証モジュールに配信するように構成され、
第2のサービス要求はさらに、UEのセキュリティ能力を搬送し、
標的認証モジュールはさらに、
UEのセキュリティ能力、ANのセキュリティ能力、および指定されたセキュリティポリシーに基づいて、標的暗号化アルゴリズムまたは標的完全性保護アルゴリズムを選択し、
標的暗号化アルゴリズムの識別子または標的完全性保護アルゴリズムの識別子を使用することによって第1のセキュリティ構成を生成して、第1のセキュリティ構成を第2のサービス要求応答に追加する
ように構成され、
ANは特に、
第2のセキュリティ構成として、第1のセキュリティ構成において搬送される標的暗号化アルゴリズムの識別子または標的完全性保護アルゴリズムの識別子を決定して、第2のセキュリティ構成を第1のサービス要求応答に追加する
ように構成される。
第1の態様の第14の可能な実装形態または第1の態様の第16の可能な実装形態に関して、第17の可能な実装形態において、標的暗号化アルゴリズムは、UEとANの両方によってサポートされる暗号化アルゴリズムの中で最高の選択優先順位を有する暗号化アルゴリズムであり、
標的完全性保護アルゴリズムは、UEとANの両方によってサポートされる完全性保護アルゴリズムの中で最高の選択優先順位を有する完全性保護アルゴリズムである。
第1の態様および第1の態様の第1の可能な実装形態から第17の可能な実装形態のいずれか1つに関して、第18の可能な実装形態において、ネットワーク機能選択モジュールは、認証ユニットAU選択機能AUSF、AUルーティング機能AURF、スライス選択機能SSF、およびモビリティ管理MMのうちの少なくとも1つを含む。
第1の態様の第11の可能な実装形態から第1の態様の第17の可能な実装形態のいずれか1つに関して、第19の可能な実装形態において、第1のサブモジュールはAURFであり、第2のサブモジュールはAUSFである。
第1の態様の第11の可能な実装形態から第1の態様の第17の可能な実装形態のいずれか1つに関して、第20の可能な実装形態において、認証モジュールは、AU、フロントエンド、およびアクセス制御エージェントACAのうちの少なくとも1つを含む。
第2の態様によれば、サイバーセキュリティ管理システムが提供され、この管理システムは、少なくとも2つのネットワークスライスを含むネットワークのセキュリティ管理において認証モジュール選択を実施するように構成され、このシステムは、ユーザ機器UEと、ネットワーク機能選択モジュールと、少なくとも2つの認証モジュールとを含むことがあり、
UEが第1のサービス要求をネットワーク機能選択モジュールに送信するように構成され、第1のサービス要求が認証プロトコル情報を搬送し、
ネットワーク機能選択モジュールが、認証プロトコル情報に基づいて少なくとも2つの認証モジュールから標的認証モジュールを選択し、第2のサービス要求を標的認証モジュールに送信するように構成され、
標的認証モジュールが、第2のサービス要求を受信し、UEとの相互認証を実行するように構成される。
本出願では、ネットワーク機能選択モジュールは、UEによってサポートされる複数の認証プロトコル、認証プロトコルの各々の選択優先順位、ネットワークにおいて設定される認証プロトコル選択優先順位、スライス情報、認証モジュール負荷などに基づいて、標的認証モジュールを選択することがあり、それにより、認証モジュール選択柔軟性、認証モジュール選択精度、認証モジュール選択効率、およびサイバーセキュリティを改善する。
第2の態様に関して、第1の可能な実装形態において、認証プロトコル情報は、UEによって選択される第1の認証プロトコルの識別子を含み、
ネットワーク機能選択モジュールは特に、
第1の認証プロトコルの識別子に基づいて、少なくとも2つの認証モジュールから第1の認証プロトコルをサポートする標的認証モジュールを選択する
ように構成される。
第2の態様の第1の可能な実装形態に関して、第2の可能な実装形態において、1つより多くの認証モジュールが第1の認証プロトコルをサポートする場合、ネットワーク機能選択モジュールは特に、
第1の認証プロトコルをサポートする各認証モジュールの負荷状態に基づいて、最も負荷の小さい認証モジュールを認証モジュールから標的認証モジュールとして選択する
ように構成される。
第2の態様に関して、第3の可能な実装形態において、認証プロトコル情報は、UEによって選択される第1の認証プロトコルの識別子を含み、
第1のサービス要求はさらに、指定されたネットワークスライスの識別子を搬送し、
ネットワーク機能選択モジュールは特に、
第1の認証プロトコルの識別子および指定されたネットワークスライスの識別子に基づいて、少なくとも2つの認証モジュールから第1の認証プロトコルおよび指定されたネットワークスライスをサポートする標的認証モジュールを選択する
ように構成される。
第2の態様の第3の可能な実装形態に関して、第4の可能な実装形態において、1つより多くの認証モジュールが第1の認証プロトコルおよび指定されたネットワークスライスをサポートする場合、ネットワーク機能選択モジュールは特に、
第1の認証プロトコルおよび指定されたネットワークスライスをサポートする各認証モジュールの負荷状態に基づいて、最も負荷の小さい認証モジュールを認証モジュールから標的認証モジュールとして選択する
ように構成される。
第2の態様に関して、第5の可能な実装形態において、認証プロトコル情報は、UEによってサポートされる少なくとも2つの第2の認証プロトコルの識別子を含み、
ネットワーク機能選択モジュールは特に、
第2の認証プロトコルの識別子に基づいて、第2の認証プロトコルのうちの少なくとも1つをサポートする被選択候補の認証モジュールを、少なくとも2つの認証モジュールから標的認証モジュールとして選択する
ように構成される。
第2の態様に関して、第6の可能な実装形態において、認証プロトコル情報は、UEによってサポートされる少なくとも2つの第2の認証プロトコルの識別子を含み、
第1のサービス要求はさらに、指定されたネットワークスライスの識別子を搬送し、
ネットワーク機能選択モジュールは特に、
第2の認証プロトコルの識別子に基づいて、第2の認証プロトコルのうちの少なくとも1つをサポートし指定されたネットワークスライスをサポートする被選択候補の認証モジュールを、少なくとも2つの認証モジュールから標的認証モジュールとして選択する
ように構成される。
第2の態様に関して、第7の可能な実装形態において、認証プロトコル情報は、UEによってサポートされる少なくとも2つの第2の認証プロトコルの識別子を含み、
ネットワーク機能選択モジュールは特に、
ネットワークにおいて設定される認証プロトコル選択優先順位に基づいて、UEによってサポートされる第2の認証プロトコルから最高の選択優先順位を有する認証プロトコルを決定し、最高の選択優先順位を有する認証プロトコルをサポートする被選択候補の認証モジュールを少なくとも2つの認証モジュールから標的認証モジュールとして選択する
ように構成される。
第2の態様の第5の可能な実装形態から第2の態様の第7の可能な実装形態のいずれか1つに関して、第8の可能な実装形態において、1つより多くの被選択候補の認証モジュールがある場合、ネットワーク機能選択モジュールは特に、
1つより多くの被選択候補の認証モジュールの各々の負荷状態に基づいて、最も負荷の小さい認証モジュールを認証モジュールから標的認証モジュールとして選択する
ように構成される。
第2の態様に関して、第9の可能な実装形態において、認証プロトコル情報は、UEによってサポートされる少なくとも2つの第3の認証プロトコルの識別子と、少なくとも2つの第3の認証プロトコルの各々の選択優先順位とを含み、
ネットワーク機能選択モジュールは特に、
第3の認証プロトコルの識別子に基づいて、少なくとも2つの認証モジュールから第3の認証プロトコルのうちの少なくとも1つをサポートする被選択候補の認証モジュールを選択し、
1つより多くの被選択候補の認証モジュールがある場合、各々の第3の認証プロトコルの選択優先順位に基づいて、最高の選択優先順位を有する第4の認証プロトコルをサポートする認証モジュールをすべての被選択候補の認証モジュールから標的認証モジュールとして選択する
ように構成される。
第2の態様に関して、第10の可能な実装形態において、認証プロトコル情報は、UEによってサポートされる少なくとも2つの第3の認証プロトコルの識別子と、少なくとも2つの第3の認証プロトコルの各々の選択優先順位とを含み、
第1のサービス要求はさらに、指定されたネットワークスライスの識別子を搬送し、
ネットワーク機能選択モジュールは特に、
第3の認証プロトコルの識別子に基づいて、少なくとも2つの認証モジュールから第3の認証プロトコルのうちの少なくとも1つをサポートする第1の認証モジュールを選択し、
1つより多くの第1の認証モジュールがある場合、各々の第3の認証プロトコルの選択優先順位に基づいて、最高の優先順位を有する第4の認証プロトコルをサポートする第2の認証モジュールをすべての第1の認証モジュールから選択し、
1つより多くの第2の認証モジュールがある場合、各々の第2の認証モジュールの負荷状態または各々の第2の認証モジュールによってサービスされるネットワークスライスについての情報に基づいて、指定されたネットワークスライスにサービスする、最も負荷の小さい認証モジュールを、第2の認証モジュールから標的認証モジュールとして選択する
ように構成される。
第2の態様に関して、第11の可能な実装形態において、ネットワーク機能選択モジュールは、第1のサブモジュールおよび第2のサブモジュールを含み、
第1のサブモジュールは、UEによって送信される第1のサービス要求を受信し、認証モジュール選択要求を第2のサブモジュールに送信するように構成され、認証モジュール選択要求は認証プロトコル情報を搬送し、
第2のサブモジュールは、認証プロトコル情報に基づいて少なくとも2つの認証モジュールから標的認証モジュールを選択し、標的認証モジュールの識別子を第1のサブモジュールに送信するように構成され、
第1のサブモジュールはさらに、標的認証モジュールの識別子に対応する標的認証モジュールに第2のサービス要求を送信するように構成される。
第2の態様の第11の可能な実装形態に関して、第12の可能な実装形態において、第2のサブモジュールは特に、ネットワーク機能選択モジュールによって実行される実装形態のいずれか1つを実行するように構成される。
第2の態様および第2の態様の第1の可能な実装形態から第12の可能な実装形態のいずれか1つに関して、第13の可能な実装形態において、ネットワーク機能選択モジュールは、認証ユニットAU選択機能AUSF、AUルーティング機能AURF、スライス選択機能SSF、およびモビリティ管理MMのうちの少なくとも1つを含む。
第2の態様の第11の可能な実装形態と第2の態様の第12の可能な実装形態のいずれかに関して、第14の可能な実装形態において、第1のサブモジュールはAURFであり、第2のサブモジュールはAUSFである。
第2の態様および第2の態様の第1の可能な実装形態から第12の可能な実装形態のいずれか1つに関して、第15の可能な実装形態において、認証モジュールは、AU、フロントエンド、およびアクセス制御エージェントACAのうちの少なくとも1つを含む。
第3の態様によれば、サイバーセキュリティ管理システムが提供され、この管理システムは、少なくとも2つのネットワークスライスを含むネットワークのセキュリティ管理においてセキュリティ構成管理を実施するように構成され、このシステムは、ユーザ機器UEと、アクセスネットワークANと、セキュリティポリシーコントローラと、認証モジュールとを含むことがあり、
セキュリティポリシーコントローラは、ネットワークスライスセキュリティポリシーをANまたは認証モジュールに配信するように構成され、
UEは第1のサービス要求をANに送信するように構成され、第1のサービス要求はUEがアタッチされるべき指定されたネットワークスライスの識別子を搬送し、
ANは第2のサービス要求を認証モジュールに送信するように構成され、第2のサービス要求はUEがアタッチされるべき指定されたネットワークスライスの識別子を搬送し、
認証モジュールが、第2のサービス要求を受信し、UEとの相互認証を実行するように構成され、
認証モジュールがさらに、指定されたネットワークスライスの指定されたセキュリティポリシーに従って第1のセキュリティ構成を決定し、第2のサービス要求応答をANに送信するように構成され、第2のサービス要求応答が第1のセキュリティ構成を搬送し、
ANがさらに、第1のセキュリティ構成または指定されたセキュリティポリシーに基づいて第2のセキュリティ構成を決定し、第1のサービス要求応答をUEに送信するように構成され、第1のサービス要求応答が第2のセキュリティ構成を搬送する。
本出願では、認証プロトコルに従って選択された標的認証モジュールがセキュリティ構成を生成することがあり、または、認証プロトコルおよびANに従って選択された標的認証モジュールがセキュリティ構成を生成することがあるので、選択柔軟性が高く、サイバーセキュリティが改善される。
第3の態様に関して、第1の可能な実装形態において、セキュリティポリシーコントローラは、ネットワークスライスセキュリティポリシーを認証モジュールに配信するように構成され、
第2のサービス要求はさらに、UEのセキュリティ能力およびANのセキュリティ能力を搬送し、
認証モジュールはさらに、
指定されたネットワークスライスに対応する指定されたセキュリティポリシーにおいて指定される鍵長を決定して、鍵長に対応する鍵を生成し、
UEのセキュリティ能力、ANのセキュリティ能力、および指定されたセキュリティポリシーに基づいて、標的暗号化アルゴリズムまたは標的完全性保護アルゴリズムを選択し、
鍵、および標的暗号化アルゴリズムの識別子または標的完全性保護アルゴリズムの識別子を使用することによって第1のセキュリティ構成を生成して、第1のセキュリティ構成を第2のサービス要求応答に追加する
ように構成され、
ANは特に、
第2のセキュリティ構成として、第1のセキュリティ構成において搬送される標的暗号化アルゴリズムの識別子または標的完全性保護アルゴリズムの識別子を決定して、第2のセキュリティ構成を第1のサービス要求応答に追加する
ように構成される。
第3の態様に関して、第2の可能な実装形態において、セキュリティポリシーコントローラは、ネットワークスライスセキュリティポリシーを認証モジュールおよびANに配信するように構成され、
第2のサービス要求はさらに、UEのセキュリティ能力を搬送し、
認証モジュールはさらに、
指定されたネットワークスライスの指定されたセキュリティポリシーにおいて指定される鍵長を決定し、鍵長に対応する鍵を生成し、鍵および指定されたネットワークスライスの識別子に基づいて第1のセキュリティ構成を生成し、第1のセキュリティ構成を第2のサービス要求応答に追加する
ように構成され、
ANは特に、
指定されたネットワークスライスの識別子に基づいて指定されたセキュリティポリシーを決定し、ANのセキュリティ能力、UEのセキュリティ能力、および指定されたセキュリティポリシーに基づいて、標的暗号化アルゴリズムまたは標的完全性保護アルゴリズムを選択し、
第2のセキュリティ構成を取得するために、標的暗号化アルゴリズムの識別子または標的完全性保護アルゴリズムの識別子を第1のセキュリティ構成に追加する
ように構成される。
第3の態様に関して、第3の可能な実装形態において、セキュリティポリシーコントローラは、ネットワークスライスセキュリティポリシーを認証モジュールに配信するように構成され、
第2のサービス要求はさらに、UEのセキュリティ能力およびANのセキュリティ能力を搬送し、
認証モジュールはさらに、
UEのセキュリティ能力、ANのセキュリティ能力、および指定されたセキュリティポリシーに基づいて、標的暗号化アルゴリズムまたは標的完全性保護アルゴリズムを選択し、
鍵、および標的暗号化アルゴリズムの識別子または標的完全性保護アルゴリズムの識別子を使用することによって第1のセキュリティ構成を生成して、第1のセキュリティ構成を第2のサービス要求応答に追加する
ように構成され、
ANは特に、
第2のセキュリティ構成として、第1のセキュリティ構成において搬送される標的暗号化アルゴリズムの識別子または標的完全性保護アルゴリズムの識別子を決定して、第2のセキュリティ構成を第1のサービス要求応答に追加する
ように構成される。
第3の態様の第1の可能な実装形態から第3の態様の第3の可能な実装形態のいずれか1つに関して、第4の可能な実装形態において、標的暗号化アルゴリズムは、UEとANの両方によってサポートされる暗号化アルゴリズムの中で最高の選択優先順位を有する暗号化アルゴリズムであり、
標的完全性保護アルゴリズムは、UEとANの両方によってサポートされる完全性保護アルゴリズムの中で最高の選択優先順位を有する完全性保護アルゴリズムである。
第3の態様および第3の態様の第1の可能な実装形態から第4の可能な実装形態のいずれか1つに関して、第5の可能な実装形態において、認証モジュールは、AU、フロントエンド、およびアクセス制御エージェントACAのうちの少なくとも1つを含む。
第4の態様によれば、サイバーセキュリティ管理方法が提供され、この方法は、
ネットワーク機能選択モジュールによって、ユーザ機器UEによって送信される第1のサービス要求を受信するステップであって、第1のサービス要求が認証プロトコル情報を搬送する、ステップと、
認証プロトコル情報に基づいてネットワーク機能選択モジュールによって、ネットワークに含まれる少なくとも2つの認証モジュールから標的認証モジュールを選択するステップと、
ネットワーク機能選択モジュールによって、第2のサービス要求を標的認証モジュールに送信するステップと
を含み得る。
第4の態様に関して、第1の可能な実装形態において、認証プロトコル情報は、UEによって選択される第1の認証プロトコルの識別子を含み、
認証プロトコル情報に基づいてネットワーク機能選択モジュールによって、ネットワークに含まれる少なくとも2つの認証モジュールから標的認証モジュールを選択するステップが、
ネットワーク機能選択モジュールによって、第1の認証プロトコルの識別子に基づいて、少なくとも2つの認証モジュールから第1の認証プロトコルをサポートする標的認証モジュールを選択するステップを含む。
第4の態様の第1の可能な実装形態に関して、第2の可能な実装形態において、1つより多くの認証モジュールが第1の認証プロトコルをサポートする場合、方法は、
第1の認証プロトコルをサポートする各認証モジュールの負荷状態に基づいて、最も負荷の小さい認証モジュールを認証モジュールから標的認証モジュールとして選択するステップをさらに含む。
第4の態様に関して、第3の可能な実装形態において、認証プロトコル情報は、UEによって選択される第1の認証プロトコルの識別子を含み、
第1のサービス要求はさらに、指定されたネットワークスライスの識別子を搬送し、
認証プロトコル情報に基づいてネットワーク機能選択モジュールによって、ネットワークに含まれる少なくとも2つの認証モジュールから標的認証モジュールを選択するステップが、
ネットワーク機能選択モジュールによって、第1の認証プロトコルの識別子および指定されたネットワークスライスの識別子に基づいて、少なくとも2つの認証モジュールから第1の認証プロトコルおよび指定されたネットワークスライスをサポートする標的認証モジュールを選択するステップを含む。
第4の態様の第3の可能な実装形態に関して、第4の可能な実装形態において、1つより多くの認証モジュールが第1の認証プロトコルおよび指定されたネットワークスライスをサポートする場合、方法は、
第1の認証プロトコルおよび指定されたネットワークスライスをサポートする各認証モジュールの負荷状態に基づいて、最も負荷の小さい認証モジュールを認証モジュールから標的認証モジュールとして選択するステップをさらに含む。
第4の態様に関して、第5の可能な実装形態において、認証プロトコル情報は、UEによってサポートされる少なくとも2つの第2の認証プロトコルの識別子を含み、
認証プロトコル情報に基づいてネットワーク機能選択モジュールによって、ネットワークに含まれる少なくとも2つの認証モジュールから標的認証モジュールを選択するステップが、
ネットワーク機能選択モジュールによって、第2の認証プロトコルの識別子に基づいて、少なくとも2つの認証モジュールから第2の認証プロトコルのうちの少なくとも1つをサポートする被選択候補の認証モジュールを、標的認証モジュールとして選択するステップを含む。
第4の態様に関して、第6の可能な実装形態において、認証プロトコル情報は、UEによってサポートされる少なくとも2つの第2の認証プロトコルの識別子を含み、
第1のサービス要求はさらに、指定されたネットワークスライスの識別子を搬送し、
認証プロトコル情報に基づいてネットワーク機能選択モジュールによって、ネットワークに含まれる少なくとも2つの認証モジュールから標的認証モジュールを選択するステップが、
ネットワーク機能選択モジュールによって、第2の認証プロトコルの識別子に基づいて、少なくとも2つの認証モジュールから第2の認証プロトコルのうちの少なくとも1つをサポートし指定されたネットワークスライスをサポートする被選択候補の認証モジュールを、標的認証モジュールとして選択するステップを含む。
第4の態様に関して、第7の可能な実装形態において、認証プロトコル情報は、UEによってサポートされる少なくとも2つの第2の認証プロトコルの識別子を含み、
認証プロトコル情報に基づいてネットワーク機能選択モジュールによって、ネットワークに含まれる少なくとも2つの認証モジュールから標的認証モジュールを選択するステップが、
ネットワーク機能選択モジュールによって、ネットワークにおいて設定される認証プロトコル選択優先順位に基づいて、UEによってサポートされる第2の認証プロトコルから最高の選択優先順位を有する認証プロトコルを決定し、最高の選択優先順位を有する認証プロトコルをサポートする被選択候補の認証モジュールを少なくとも2つの認証モジュールから標的認証モジュールとして選択するステップを含む。
第4の態様の第5の可能な実装形態から第4の態様の第7の可能な実装形態のいずれか1つに関して、第8の可能な実装形態において、1つより多くの被選択候補の認証モジュールがある場合、方法は、
1つより多くの被選択候補の認証モジュールの各々の負荷状態に基づいて、最も負荷の小さい認証モジュールを認証モジュールから標的認証モジュールとして選択するステップをさらに含む。
第4の態様に関して、第9の可能な実装形態において、認証プロトコル情報は、UEによってサポートされる少なくとも2つの第3の認証プロトコルの識別子と、少なくとも2つの第3の認証プロトコルの各々の選択優先順位とを含み、
認証プロトコル情報に基づいてネットワーク機能選択モジュールによって、ネットワークに含まれる少なくとも2つの認証モジュールから標的認証モジュールを選択するステップが、
ネットワーク機能選択モジュールによって、第3の認証プロトコルの識別子に基づいて、少なくとも2つの認証モジュールから第3の認証プロトコルのうちの少なくとも1つをサポートする被選択候補の認証モジュールを選択するステップと、
1つより多くの被選択候補の認証モジュールがある場合、各々の第3の認証プロトコルの選択優先順位に基づいて、最高の選択優先順位を有する第4の認証プロトコルをサポートする認証モジュールをすべての被選択候補の認証モジュールから標的認証モジュールとして選択するステップと
を含む。
第4の態様に関して、第10の可能な実装形態において、認証プロトコル情報は、UEによってサポートされる少なくとも2つの第3の認証プロトコルの識別子と、少なくとも2つの第3の認証プロトコルの各々の選択優先順位とを含み、
第1のサービス要求はさらに、指定されたネットワークスライスの識別子を搬送し、
認証プロトコル情報に基づいてネットワーク機能選択モジュールによって、ネットワークに含まれる少なくとも2つの認証モジュールから標的認証モジュールを選択するステップが、
ネットワーク機能選択モジュールによって、第3の認証プロトコルの識別子に基づいて、少なくとも2つの認証モジュールから第3の認証プロトコルのうちの少なくとも1つをサポートする第1の認証モジュールを選択するステップと、
1つより多くの第1の認証モジュールがある場合、各々の第3の認証プロトコルの選択優先順位に基づいて、最高の優先順位を有する第4の認証プロトコルをサポートする第2の認証モジュールをすべての第1の認証モジュールから選択するステップと、
1つより多くの第2の認証モジュールがある場合、各々の第2の認証モジュールの負荷状態または各々の第2の認証モジュールによってサービスされるネットワークスライスについての情報に基づいて、指定されたネットワークスライスにサービスする、最も負荷の小さい認証モジュールを、第2の認証モジュールから標的認証モジュールとして選択するステップと
を含む。
第4の態様および第4の態様の第1の可能な実装形態から第10の可能な実装形態のいずれか1つに関して、第11の可能な実装形態において、ネットワーク機能選択モジュールは、認証ユニットAU選択機能AUSF、AUルーティング機能AURF、スライス選択機能SSF、およびモビリティ管理MMのうちの少なくとも1つを含む。
第5の態様によれば、サイバーセキュリティ管理方法が提供され、この方法は、
第2のネットワーク機能選択モジュールによって、第1のネットワーク機能選択モジュールによって送信される認証モジュール選択要求を受信するステップであって、認証モジュール選択要求がユーザ機器UEによって送信される認証プロトコル情報を搬送する、ステップと、
認証プロトコル情報に基づいて第2のネットワーク機能選択モジュールによって、ネットワークに含まれる少なくとも2つの認証モジュールから標的認証モジュールを選択するステップと、
第1のネットワーク機能選択モジュールを使用することによってサービス要求を標的認証モジュールに送信するために、第2のネットワーク機能選択モジュールによって、標的認証モジュールの識別子を第1のネットワーク機能選択モジュールに送信するステップと
を含み得る。
第6の態様によれば、サイバーセキュリティ管理方法が提供され、この方法は、
認証モジュールによって、セキュリティポリシーコントローラによって配信されるネットワークスライスセキュリティポリシーを受信するステップと、
認証モジュールによって、アクセスネットワークANによって送信されるサービス要求を受信するステップであって、サービス要求が、ユーザ機器UEのセキュリティ能力と、UEがアタッチされるべき指定されたネットワークスライスの識別子とを搬送する、ステップと、
指定されたネットワークスライスの識別子に基づく指定されたネットワークスライスの指定されたセキュリティポリシーのために、認証モジュールによって、セキュリティポリシーコントローラによって配信されるネットワークスライスセキュリティポリシーを探して、指定されたセキュリティポリシーに従ってセキュリティ構成を決定するステップと、
認証モジュールによって、サービス要求応答をANに送信するステップであって、サービス要求応答はセキュリティ構成を搬送する、ステップと
を含むことがある。
第6の態様に関して、第1の可能な実装形態において、指定されたセキュリティポリシーは、鍵情報および暗号化アルゴリズム情報または完全性保護アルゴリズム情報を含み、
サービス要求はさらに、ユーザ機器UEのセキュリティ能力を搬送し、
指定されたセキュリティポリシーに従ってセキュリティ構成を決定するステップは、
指定されたネットワークスライスの指定されたセキュリティポリシーにおいて指定される鍵長を決定して、鍵長に対応する鍵を生成するステップと、
UEのセキュリティ能力、ANのセキュリティ能力、ならびに指定されたセキュリティポリシーに含まれる暗号化アルゴリズム情報および完全性保護アルゴリズム情報に基づいて、標的暗号化アルゴリズムまたは標的完全性保護アルゴリズムを選択するステップと、
鍵、および標的暗号化アルゴリズムの識別子または標的完全性保護アルゴリズムの識別子に基づいてセキュリティ構成を生成して、セキュリティ構成を第2のサービス要求応答に追加するステップと
を含む。
第6の態様に関して、第2の可能な実装形態において、指定されたセキュリティポリシーは鍵情報を含み、
指定されたセキュリティポリシーに従ってセキュリティ構成を決定するステップは、
指定されたネットワークスライスの指定されたセキュリティポリシーにおいて指定される鍵長を決定し、鍵長に対応する鍵を生成し、鍵および指定されたネットワークスライスの識別子に基づいてセキュリティ構成を生成し、セキュリティ構成を第2のサービス要求応答に追加するステップを含む。
第6の態様に関して、第3の可能な実装形態において、指定されたセキュリティポリシーは、暗号化アルゴリズム情報または完全性保護アルゴリズム情報を含み、
サービス要求はさらに、ユーザ機器UEのセキュリティ能力を搬送し、
指定されたセキュリティポリシーに従ってセキュリティ構成を決定するステップは、
UEのセキュリティ能力、ANのセキュリティ能力、ならびに指定されたセキュリティポリシーに含まれる暗号化アルゴリズム情報および完全性保護アルゴリズム情報に基づいて、標的暗号化アルゴリズムまたは標的完全性保護アルゴリズムを選択するステップと、
標的暗号化アルゴリズムの識別子または標的完全性保護アルゴリズムの識別子に基づいてセキュリティ構成を生成して、セキュリティ構成を第2のサービス要求応答に追加するステップと
を含む。
第6の態様の第1の可能な実装形態から第6の態様の第3の可能な実装形態のいずれか1つに関して、第4の可能な実装形態において、指定されたセキュリティポリシーに含まれる暗号化アルゴリズム情報は暗号化アルゴリズム選択優先順位であり、完全性保護アルゴリズム情報は完全性保護アルゴリズム選択優先順位であり、
標的暗号化アルゴリズムは、UEとANの両方によってサポートされる暗号化アルゴリズムの中で最高の選択優先順位を有する暗号化アルゴリズムであり、
標的完全性保護アルゴリズムは、UEとANの両方によってサポートされる完全性保護アルゴリズムの中で最高の選択優先順位を有する完全性保護アルゴリズムである。
第6の態様および第6の態様の第1の可能な実装形態から第4の可能な実装形態のいずれか1つに関して、第5の可能な実装形態において、認証モジュールは、認証ユニットAU、フロントエンド、およびアクセス制御エージェントACAのうちの少なくとも1つを含む。
第7の態様によれば、サイバーセキュリティ管理方法が提供され、この方法は、
アクセスネットワークANによって、ユーザ機器UEによって送信される第1のサービス要求を受信するステップであって、第1のサービス要求が、UEのセキュリティ能力と、UEがアタッチされるべき指定されたネットワークスライスの識別子とを搬送する、ステップと、
ANによって、第2のサービス要求を認証モジュールに送信するステップであって、第2のサービス要求が、UEがアタッチされるべき指定されたネットワークスライスの識別子と、ANのセキュリティ能力と、UEのセキュリティ能力とを搬送する、ステップと、
ANによって、認証モジュールによって送信される第2のサービス要求応答を受信するステップであって、第2のサービス要求応答が、指定されたネットワークスライスの識別子、ANのセキュリティ能力、およびUEのセキュリティ能力に基づいて認証モジュールによって決定される第1のセキュリティ構成を搬送する、ステップと、
ANによって、第1のセキュリティ構成に基づいて第2のセキュリティ構成を決定し、第1のサービス要求応答をUEに送信するステップであって、第1のサービス要求応答が第2のセキュリティ構成を搬送する、ステップと
を含むことがある。
第7の態様に関して、第1の可能な実装形態において、第1のセキュリティ構成は、鍵および暗号化アルゴリズムの識別子または完全性保護アルゴリズムの識別子を含み、
ANによって、第1のセキュリティ構成に基づいて第2のセキュリティ構成を決定するステップが、
ANによって鍵を記憶し、暗号化アルゴリズムの識別子および完全性保護アルゴリズムの識別子を第1のセキュリティ構成から取得し、暗号化アルゴリズムの識別子および完全性保護アルゴリズムの識別子に基づいて第2のセキュリティ構成を生成するステップを含む。
第8の態様によれば、サイバーセキュリティ管理方法が提供され、この方法は、
アクセスネットワークANによって、ユーザ機器UEによって送信される第1のサービス要求を受信するステップであって、第1のサービス要求が、UEのセキュリティ能力と、UEがアタッチされるべき指定されたネットワークスライスの識別子とを搬送する、ステップと、
ANによって、第2のサービス要求を認証モジュールに送信するステップであって、第2のサービス要求が、UEがアタッチされるべき指定されたネットワークスライスの識別子を搬送する、ステップと、
ANによって、認証モジュールによって送信される第2のサービス要求応答を受信するステップと、
ANによって、UEのセキュリティ能力および指定されたネットワークスライスの識別子に対応する指定されたセキュリティポリシーに基づいて第2のセキュリティ構成を決定し、第1のサービス要求応答をUEに送信するステップであって、第1のサービス要求応答が第2のセキュリティ構成を搬送する、ステップと
を含むことがある。
第8の態様に関して、第1の可能な実装形態において、ANによって、UEのセキュリティ能力および指定されたネットワークスライスの識別子に対応する指定されたセキュリティポリシーに基づいて第2のセキュリティ構成を決定するステップが、
ANによって、指定されたネットワークスライスの識別子に基づいて指定されたセキュリティポリシーを決定するステップと、
ANのセキュリティ能力、UEのセキュリティ能力、および指定されたセキュリティポリシーに基づいて標的暗号化アルゴリズムまたは標的完全性保護アルゴリズムを選択し、標的暗号化アルゴリズムの識別子または標的完全性保護アルゴリズムの識別子に基づいて第2のセキュリティ構成を生成するステップと
を含む。
第8の態様の第1の可能な実装形態に関して、第2の可能な実装形態において、指定されたセキュリティポリシーに含まれる暗号化アルゴリズム情報は暗号化アルゴリズム選択優先順位であり、完全性保護アルゴリズム情報は完全性保護アルゴリズム選択優先順位であり、
標的暗号化アルゴリズムは、UEとANの両方によってサポートされる暗号化アルゴリズムの中で最高の選択優先順位を有する暗号化アルゴリズムであり、
標的完全性保護アルゴリズムは、UEとANの両方によってサポートされる完全性保護アルゴリズムの中で最高の選択優先順位を有する完全性保護アルゴリズムである。
第9の態様によれば、サイバーセキュリティ管理装置が提供され、この装置は、
ユーザ機器UEによって送信される第1のサービス要求を受信するように構成される受信ユニットであって、第1のサービス要求が認証プロトコル情報を搬送する、受信ユニットと、
受信ユニットによって受信される認証プロトコル情報に基づいて、ネットワークに含まれる少なくとも2つの認証モジュールから標的認証モジュールを選択するように構成される選択ユニットと、
選択ユニットによって選択される標的認証モジュールに第2のサービス要求を送信するように構成される送信ユニットと
を含み得る。
第9の態様に関して、第1の可能な実装形態において、認証プロトコル情報は、UEによって選択される第1の認証プロトコルの識別子を含み、
選択ユニットは特に、
第1の認証プロトコルの識別子に基づいて、少なくとも2つの認証モジュールから第1の認証プロトコルをサポートする標的認証モジュールを選択する
ように構成される。
第9の態様の第1の可能な実装形態に関して、第2の可能な実装形態において、1つより多くの認証モジュールが第1の認証プロトコルをサポートする場合、
選択ユニットは特に、
第1の認証プロトコルをサポートする各認証モジュールの負荷状態に基づいて、最も負荷の小さい認証モジュールを認証モジュールから標的認証モジュールとして選択する
ように構成される。
第9の態様に関して、第3の可能な実装形態において、認証プロトコル情報は、UEによって選択される第1の認証プロトコルの識別子を含み、
第1のサービス要求はさらに、指定されたネットワークスライスの識別子を搬送し、
選択ユニットは特に、
第1の認証プロトコルの識別子および指定されたネットワークスライスの識別子に基づいて、少なくとも2つの認証モジュールから第1の認証プロトコルおよび指定されたネットワークスライスをサポートする標的認証モジュールを選択する
ように構成される。
第9の態様の第3の可能な実装形態に関して、第4の可能な実装形態において、1つより多くの認証モジュールが第1の認証プロトコルおよび指定されたネットワークスライスをサポートする場合、選択ユニットは特に、
第1の認証プロトコルおよび指定されたネットワークスライスをサポートする各認証モジュールの負荷状態に基づいて、最も負荷の小さい認証モジュールを認証モジュールから標的認証モジュールとして選択する
ように構成される。
第9の態様に関して、第5の可能な実装形態において、認証プロトコル情報は、UEによってサポートされる少なくとも2つの第2の認証プロトコルの識別子を含み、
選択ユニットは特に、
第2の認証プロトコルの識別子に基づいて、第2の認証プロトコルのうちの少なくとも1つをサポートする被選択候補の認証モジュールを、少なくとも2つの認証モジュールから標的認証モジュールとして選択する
ように構成される。
第9の態様に関して、第6の可能な実装形態において、認証プロトコル情報は、UEによってサポートされる少なくとも2つの第2の認証プロトコルの識別子を含み、
第1のサービス要求はさらに、指定されたネットワークスライスの識別子を搬送し、
選択ユニットは特に、
第2の認証プロトコルの識別子に基づいて、第2の認証プロトコルのうちの少なくとも1つをサポートし指定されたネットワークスライスをサポートする被選択候補の認証モジュールを、少なくとも2つの認証モジュールから標的認証モジュールとして選択する
ように構成される。
第9の態様に関して、第7の可能な実装形態において、認証プロトコル情報は、UEによってサポートされる少なくとも2つの第2の認証プロトコルの識別子を含み、
選択ユニットは特に、
ネットワークにおいて設定される認証プロトコル選択優先順位に基づいて、UEによってサポートされる第2の認証プロトコルから最高の選択優先順位を有する認証プロトコルを決定し、最高の選択優先順位を有する認証プロトコルをサポートする被選択候補の認証モジュールを少なくとも2つの認証モジュールから標的認証モジュールとして選択する
ように構成される。
第9の態様の第5の可能な実装形態から第9の態様の第7の可能な実装形態のいずれか1つに関して、第8の可能な実装形態において、1つより多くの被選択候補の認証モジュールがある場合、選択ユニットは特に、
1つより多くの被選択候補の認証モジュールの各々の負荷状態に基づいて、最も負荷の小さい認証モジュールを認証モジュールから標的認証モジュールとして選択する
ように構成される。
第9の態様に関して、第9の可能な実装形態において、認証プロトコル情報は、UEによってサポートされる少なくとも2つの第3の認証プロトコルの識別子と、少なくとも2つの第3の認証プロトコルの各々の選択優先順位とを含み、
選択ユニットは特に、
第3の認証プロトコルの識別子に基づいて、少なくとも2つの認証モジュールから第3の認証プロトコルのうちの少なくとも1つをサポートする被選択候補の認証モジュールを選択し、
1つより多くの被選択候補の認証モジュールがある場合、各々の第3の認証プロトコルの選択優先順位に基づいて、最高の選択優先順位を有する第4の認証プロトコルをサポートする認証モジュールをすべての被選択候補の認証モジュールから標的認証モジュールとして選択する
ように構成される。
第9の態様に関して、第10の可能な実装形態において、認証プロトコル情報は、UEによってサポートされる少なくとも2つの第3の認証プロトコルの識別子と、少なくとも2つの第3の認証プロトコルの各々の選択優先順位とを含み、
第1のサービス要求はさらに、指定されたネットワークスライスの識別子を搬送し、
選択ユニットは特に、
第3の認証プロトコルの識別子に基づいて、少なくとも2つの認証モジュールから第3の認証プロトコルのうちの少なくとも1つをサポートする第1の認証モジュールを選択し、
1つより多くの第1の認証モジュールがある場合、各々の第3の認証プロトコルの選択優先順位に基づいて、最高の優先順位を有する第4の認証プロトコルをサポートする第2の認証モジュールをすべての第1の認証モジュールから選択し、
1つより多くの第2の認証モジュールがある場合、各々の第2の認証モジュールの負荷状態または各々の第2の認証モジュールによってサービスされるネットワークスライスについての情報に基づいて、指定されたネットワークスライスにサービスする、最も負荷の小さい認証モジュールを、第2の認証モジュールから標的認証モジュールとして選択する
ように構成される。
第9の態様に関して、第11の可能な実装形態において、選択ユニットは、第1のサブユニットおよび第2のサブユニットを含み、
第1のサブユニットは、UEによって送信される第1のサービス要求を受信し、認証モジュール選択要求を第2のサブユニットに送信するように構成され、認証モジュール選択要求は認証プロトコル情報を搬送し、
第2のサブユニットは、認証プロトコル情報に基づいて少なくとも2つの認証モジュールから標的認証モジュールを選択し、標的認証モジュールの識別子を第1のサブユニットに送信するように構成され、
第1のサブユニットはさらに、標的認証モジュールの識別子に対応する標的認証モジュールに第2のサービス要求を送信するように構成される。
第9の態様の第11の可能な実装形態に関して、第12の可能な実装形態において、第2のサブユニットは特に、選択ユニットによって実行される実装形態のいずれか1つを実行するように構成される。
第9の態様および第9の態様の第1の可能な実装形態から第10の可能な実装形態に関して、第13の可能な実装形態において、選択ユニットは、認証ユニットAU選択機能AUSF、AUルーティング機能AURF、スライス選択機能SSF、およびモビリティ管理MMのうちの少なくとも1つを含む。
第9の態様の第11の可能な実装形態または第9の態様の第12の可能な実装形態のいずれかに関して、第13の可能な実装形態において、第1のサブユニットはAURFであり、第2のサブユニットはAUSFである。
第10の態様によれば、サイバーセキュリティ管理装置が提供され、この装置は、
セキュリティポリシーコントローラによって配信されるネットワークスライスセキュリティポリシーを受信するように構成される受信ユニットであって、
受信ユニットが、アクセスネットワークANによって送信されるサービス要求を受信するようにさらに構成され、サービス要求が、ユーザ機器UEのセキュリティ能力と、UEがアタッチされるべき指定されたネットワークスライスの識別子とを搬送する、受信ユニットと、
受信ユニットによって受信される指定されたネットワークスライスの識別子に基づく指定されたネットワークスライスの指定されたセキュリティポリシーのために、セキュリティポリシーコントローラによって配信されるネットワークスライスセキュリティポリシーを探して、指定されたセキュリティポリシーに従ってセキュリティ構成を決定するように構成される実行ユニットと、
サービス要求応答をANに送信するように構成される送信ユニットであって、サービス要求応答は実行ユニットによって決定されるセキュリティ構成を搬送する、送信ユニットと
を含むことがある。
第10の態様に関して、第1の可能な実装形態において、指定されたセキュリティポリシーは、鍵情報および暗号化アルゴリズム情報または完全性保護アルゴリズム情報を含み、
サービス要求はさらに、ユーザ機器UEのセキュリティ能力を搬送し、
実行ユニットは特に、
指定されたネットワークスライスの指定されたセキュリティポリシーにおいて指定される鍵長を決定して、鍵長に対応する鍵を生成し、
UEのセキュリティ能力、ANのセキュリティ能力、および指定されたセキュリティポリシーに含まれる暗号化アルゴリズム情報または完全性保護アルゴリズム情報に基づいて、標的暗号化アルゴリズムまたは標的完全性保護アルゴリズムを選択し、
鍵、および標的暗号化アルゴリズムの識別子または標的完全性保護アルゴリズムの識別子に基づいてセキュリティ構成を生成して、セキュリティ構成を第2のサービス要求応答に追加する
ように構成される。
第10の態様に関して、第2の可能な実装形態において、指定されたセキュリティポリシーは鍵情報を含み、
実行ユニットは特に、
指定されたネットワークスライスの指定されたセキュリティポリシーにおいて指定される鍵長を決定し、鍵長に対応する鍵を生成し、鍵および指定されたネットワークスライスの識別子に基づいてセキュリティ構成を生成し、セキュリティ構成を第2のサービス要求応答に追加する
ように構成される。
第10の態様に関して、第3の可能な実装形態において、指定されたセキュリティポリシーは、暗号化アルゴリズム情報または完全性保護アルゴリズム情報を含み、
サービス要求はさらに、ユーザ機器UEのセキュリティ能力を搬送し、
実行ユニットは特に、
UEのセキュリティ能力、ANのセキュリティ能力、および指定されたセキュリティポリシーに含まれる暗号化アルゴリズム情報または完全性保護アルゴリズム情報に基づいて、標的暗号化アルゴリズムまたは標的完全性保護アルゴリズムを選択し、
暗号化アルゴリズムの識別子または完全性保護アルゴリズムの識別子に基づいてセキュリティ構成を生成して、セキュリティ構成を第2のサービス要求応答に追加する
ように構成される。
第10の態様の第1の可能な実装形態から第10の態様の第3の可能な実装形態のいずれか1つに関して、第4の可能な実装形態において、指定されたセキュリティポリシーに含まれる暗号化アルゴリズム情報は暗号化アルゴリズム選択優先順位であり、完全性保護アルゴリズム情報は完全性保護アルゴリズム選択優先順位であり、
標的暗号化アルゴリズムは、UEとANの両方によってサポートされる暗号化アルゴリズムの中で最高の選択優先順位を有する暗号化アルゴリズムであり、
標的完全性保護アルゴリズムは、UEとANの両方によってサポートされる完全性保護アルゴリズムの中で最高の選択優先順位を有する完全性保護アルゴリズムである。
第10の態様および第10の態様の第1の可能な実装形態から第4の可能な実装形態のいずれか1つに関して、第5の可能な実装形態において、実行ユニットは、認証ユニットAU、フロントエンド、およびアクセス制御エージェントACAのうちの少なくとも1つを含む。
第11の態様によれば、サイバーセキュリティ管理装置が提供され、この装置は、
ユーザ機器UEによって送信される第1のサービス要求を受信するように構成される受信ユニットであって、第1のサービス要求が、UEのセキュリティ能力と、UEがアタッチされるべき指定されたネットワークスライスの識別子とを搬送する、受信ユニットと、
受信ユニットによって受信される第1のサービス要求に基づいて第2のサービス要求を認証モジュールに送信するように構成される送信ユニットであって、第2のサービス要求が、UEがアタッチされるべき指定されたネットワークスライスの識別子と、ANのセキュリティ能力と、UEのセキュリティ能力とを搬送し、
受信ユニットがさらに、認証モジュールによって送信される第2のサービス要求応答を受信するように構成され、第2のサービス要求応答が、指定されたネットワークスライスの識別子、ANのセキュリティ能力、およびUEのセキュリティ能力に基づいて認証モジュールによって決定される第1のセキュリティ構成を搬送する、送信ユニットと、
受信ユニットによって受信される第1のセキュリティ構成に基づいて第2のセキュリティ構成を決定するように構成される処理ユニットと
を含むことがあり、
送信ユニットがさらに、第1のサービス要求応答をUEに送信するように構成され、第1のサービス要求応答が処理ユニットによって決定される第2のセキュリティ構成を搬送する。
第11の態様に関して、第1の可能な実装形態において、第1のセキュリティ構成は、鍵および暗号化アルゴリズムの識別子または完全性保護アルゴリズムの識別子を含み、
処理ユニットは特に、
鍵を記憶し、暗号化アルゴリズムの識別子または完全性保護アルゴリズムの識別子を第1のセキュリティ構成から取得し、暗号化アルゴリズムの識別子または完全性保護アルゴリズムの識別子に基づいて第2のセキュリティ構成を生成する
ように構成される。
第12の態様によれば、サイバーセキュリティ管理装置が提供され、この装置は、
ユーザ機器UEによって送信される第1のサービス要求を受信するように構成される受信ユニットであって、第1のサービス要求が、UEのセキュリティ能力と、UEがアタッチされるべき指定されたネットワークスライスの識別子とを搬送する、受信ユニットと、
受信ユニットによって受信される第1のサービス要求に基づいて第2のサービス要求を認証モジュールに送信するように構成される送信ユニットであって、第2のサービス要求が、UEがアタッチされるべき指定されたネットワークスライスの識別子を搬送し、
受信ユニットがさらに、認証モジュールによって送信される第2のサービス要求応答を受信するように構成される、送信ユニットと、
受信ユニットによって受信されるUEのセキュリティ能力および指定されたネットワークスライスの識別子に対応する指定されたセキュリティポリシーに基づいて第2のセキュリティ構成を決定するように構成される処理ユニットと
を含むことがあり、
送信ユニットがさらに、第1のサービス要求応答をUEに送信するように構成され、第1のサービス要求応答が処理ユニットによって決定される第2のセキュリティ構成を搬送する。
第12の態様に関して、第1の可能な実装形態において、処理ユニットは特に、
指定されたネットワークスライスの識別子に基づいて指定されたセキュリティポリシーを決定し、
ANのセキュリティ能力、UEのセキュリティ能力、および指定されたセキュリティポリシーに基づいて標的暗号化アルゴリズムまたは標的完全性保護アルゴリズムを選択し、標的暗号化アルゴリズムの識別子または標的完全性保護アルゴリズムの識別子に基づいて第2のセキュリティ構成を生成する
ように構成される。
第12の態様の第1の可能な実装形態に関して、第2の可能な実装形態において、指定されたセキュリティポリシーに含まれる暗号化アルゴリズム情報は暗号化アルゴリズム選択優先順位であり、完全性保護アルゴリズム情報は完全性保護アルゴリズム選択優先順位であり、
標的暗号化アルゴリズムは、UEとANの両方によってサポートされる暗号化アルゴリズムの中で最高の選択優先順位を有する暗号化アルゴリズムであり、
標的完全性保護アルゴリズムは、UEとANの両方によってサポートされる完全性保護アルゴリズムの中で最高の選択優先順位を有する完全性保護アルゴリズムである。
第13の態様によれば、ネットワーク機能選択モジュールが提供され、ネットワーク機能選択モジュールはメモリおよびプロセッサを含むことがあり、メモリはプロセッサに接続され、
メモリはプログラムコードのセットを記憶するように構成され、
プロセッサは、メモリに記憶されているプログラムコードを呼び出し、第4の態様において提供されるサイバーセキュリティ管理方法を実行するように構成される。
第14の態様によれば、ネットワーク機能選択モジュールが提供され、ネットワーク機能選択モジュールはメモリおよびプロセッサを含むことがあり、メモリはプロセッサに接続され、
メモリはプログラムコードのセットを記憶するように構成され、
プロセッサは、メモリに記憶されているプログラムコードを呼び出し、第5の態様において提供されるサイバーセキュリティ管理方法を実行するように構成される。
第15の態様によれば、認証モジュールが提供され、認証モジュールはメモリおよびプロセッサを含むことがあり、メモリはプロセッサに接続され、
メモリはプログラムコードのセットを記憶するように構成され、
プロセッサは、メモリに記憶されているプログラムコードを呼び出し、第6の態様において提供されるサイバーセキュリティ管理方法を実行するように構成される。
第16の態様によれば、アクセスネットワークが提供され、アクセスネットワークはメモリおよびプロセッサを含むことがあり、メモリはプロセッサに接続され、
メモリはプログラムコードのセットを記憶するように構成され、
プロセッサは、メモリに記憶されているプログラムコードを呼び出し、第7の態様において提供されるサイバーセキュリティ管理方法を実行するように構成される。
第17の態様によれば、ネットワーク機能選択モジュールが提供され、ネットワーク機能選択モジュールはメモリおよびプロセッサを含むことがあり、メモリはプロセッサに接続され、
メモリはプログラムコードのセットを記憶するように構成され、
プロセッサは、メモリに記憶されているプログラムコードを呼び出し、第8の態様において提供されるサイバーセキュリティ管理方法を実行するように構成される。
本発明は、サイバーセキュリティ管理システム、方法、および装置を開示するということが、上記から知られ得る。システムは、UEと、ANと、ネットワーク機能選択モジュールと、少なくとも2つの認証モジュールとを含む。UEは第1のサービス要求をネットワーク機能選択モジュールに送信するように構成され、第1のサービス要求は認証プロトコル情報を搬送する。ネットワーク機能選択モジュールは、認証プロトコル情報に基づいて標的認証モジュールを選択し、第2のサービス要求を標的認証モジュールに送信するように構成される。標的認証モジュールは、UEとの相互認証を実行するように構成される。標的認証モジュールはさらに、指定されたセキュリティポリシーに従って第1のセキュリティ構成を決定し、第1のセキュリティ構成をANに送信するように構成される。ANは、第1のセキュリティ構成または指定されたセキュリティポリシーに基づいて第2のセキュリティ構成を決定し、第2のセキュリティ構成をUEに送信するように構成される。本発明において提供される技術的な解決法によれば、ネットワークの差別的な認証プロトコルおよびセキュリティポリシーセキュリティ要件が満たされることが可能であり、これによりサイバーセキュリティを改善する。
本発明の実施形態または従来技術における技術的な解決法をより明確に説明するために、以下は、実施形態または従来技術を説明するために必要とされる添付の図面を簡単に説明する。明らかに、以下の説明における添付の図面は本発明のいくつかの実施形態を示すだけであり、当業者はそれでも、これらの添付の図面から創造的な努力なしで他の図面を導き出し得る。
4G専用コアネットワークの概略アーキテクチャ図である。 本発明の実施形態による、5Gネットワークスライスの概略アーキテクチャ図である。 本発明の実施形態による、サイバーセキュリティ管理システムの概略構造図である。 本発明の実施形態による、管理システムの中の機能モジュールによってサイバーセキュリティ管理を実施する概略対話図である。 本発明の実施形態による、管理システムによってAU選択を実施する概略対話図である。 本発明の実施形態による、管理システムによってAU選択を実施する別の概略対話図である。 本発明の実施形態による、管理システムによってAU選択を実施する別の概略対話図である。 本発明の実施形態による、管理システムによってセキュリティポリシーを実行する概略対話図である。 本発明の実施形態による、管理システムによってセキュリティポリシーを実行する別の概略対話図である。 本発明の実施形態による、管理システムによってサイバーセキュリティ管理を実行する概略対話図である。 本発明の実施形態による、管理システムによってサイバーセキュリティ管理を実行する概略対話図である。 本発明の実施形態による、管理システムによってサイバーセキュリティ管理を実行する概略対話図である。 本発明の実施形態による、管理システムによってサイバーセキュリティ管理を実行する別の概略対話図である。 本発明の実施形態による、管理システムによってサイバーセキュリティ管理を実行する別の概略対話図である。 本発明の実施形態による、管理システムによってサイバーセキュリティ管理を実行する別の概略対話図である。 本発明の実施形態による、管理システムによってサイバーセキュリティ管理を実行する別の概略対話図である。 本発明の実施形態による、サイバーセキュリティ管理システムの別の概略構造図である。 本発明の実施形態による、管理システムの中の機能モジュールによってサイバーセキュリティ管理を実施する概略対話図である。 本発明の実施形態による、サイバーセキュリティ管理システムの別の概略構造図である。 本発明の実施形態による、管理システムの中の機能モジュールによってサイバーセキュリティ管理を実施する別の概略対話図である。 本発明の実施形態による、サイバーセキュリティ管理方法の概略フローチャートである。 本発明の実施形態による、サイバーセキュリティ管理方法の別の概略フローチャートである。 本発明の実施形態による、サイバーセキュリティ管理方法の別の概略フローチャートである。 本発明の実施形態による、サイバーセキュリティ管理方法の別の概略フローチャートである。 本発明の実施形態による、サイバーセキュリティ管理方法の別の概略フローチャートである。 本発明の実施形態による、サイバーセキュリティ管理装置の概略構造図である。 本発明の実施形態による、サイバーセキュリティ管理装置の別の概略構造図である。 本発明の実施形態による、サイバーセキュリティ管理装置の別の概略構造図である。 本発明の実施形態による、サイバーセキュリティ管理装置の別の概略構造図である。
以下は、本発明の実施形態における添付の図面を参照して、本発明の実施形態における技術的な解決法を明確かつ完全に説明する。明らかに、説明される実施形態は、本発明の実施形態のすべてではなく一部にすぎない。本発明の実施形態に基づいて創造的な努力を伴わずに当業者により得られるすべての他の実施形態が、本発明の保護範囲内にあるものとする。
図2は、本発明の実施形態による、5Gネットワークスライスの概略アーキテクチャ図である。図2に示されるように、5Gネットワークスライス(略してスライス)のアーキテクチャでは、すべてのスライスがアクセスネットワーク((英語:Access Network,AN)または(英語:Radio Access Network,RAN)、以下は説明のために例としてANを使用する)およびスライス選択機能(英語:Slice Selection Function,SSF)を共有する。一部のスライスは1つの制御プレーン(英語:Control Plane,CP)ネットワーク機能(英語:Network Function,NF)を共有し、CP NFは一部のスライスに専用である。たとえば、スライスAおよびスライスBは1つのCP NF1を共有し、言い換えると、スライスAのCP NFおよびスライスBのCP NFは同じCP NFである。CP NF2はスライスCに専用である。各スライスはさらに、ユーザプレーン(英語:User Plane,UP)NFを含む。各CP NFは1つのAUを含み、複数のスライスによって共有されるCP NFに含まれるAUは複数のスライスにサービスし、1つのスライスに専用のCP NFの中のAUはそのスライスだけにサービスする。たとえば、CP NF1に含まれるAU1はスライスAおよびスライスBにサービスし、CP NF2に含まれるAU2はスライスCにサービスする。
従来技術では、UEのためのAUを選択するとき、ネットワークは、UEがアタッチされるべきスライスにどのAUがサービスするかを考慮することがあり、次いで、UEにサービスするためのAUを選択することがある。さらに、UEがアタッチされるべきスライスが複数のAUによってサービスされる場合、AUのうちの1つが、UEにサービスするために、複数のAUの各々の負荷状態に基づいて選択され得る。従来技術では、AU選択の間、UEによってサポートされる認証プロトコルまたはアルゴリズムなどの情報が考慮されず、関連する設計の欠如があり、AU選択の低い精度および低い選択効率を招く。その結果、サイバーセキュリティがより良く保証されることが可能ではない。
本発明の実施形態において提供されるAU選択解決法では、UEにサービスするAUは、UEによってサポートされる認証プロトコルに従って選択されることがあり、または、UEにサービスするAUは、またはUEがアタッチされるべきスライスについての情報および被選択候補のAUの負荷状態などの情報に従って選択されることがあり、これによりAU選択精度を改善する。さらに、UEのアタッチ要求または新しいサービス要求、スライスセキュリティポリシーなどが、選択されたAUを使用することによって実行されることがあり、これによりサイバーセキュリティを改善する。図3から図27を参照して、以下は、本発明の実施形態において提供されるサイバーセキュリティ管理システム、方法、および装置を説明する。
図3は、本発明の実施形態による、サイバーセキュリティ管理システムの概略構造図である。本発明のこの実施形態において提供される管理システムは、図2に示されるネットワークアーキテクチャのセキュリティ管理を実施するように構成され得る。言い換えると、本発明のこの実施形態において提供される管理システムは、複数のネットワークスライスを含むネットワークのセキュリティ管理を実施するように構成され得る。本発明のこの実施形態において提供される管理システムは、UEと、ANと、ネットワーク機能選択モジュールと、少なくとも2つの認証モジュールとを含み得る。少なくとも2つの認証モジュールは、複数のスライスによって共有される認証モジュールを含み、単一のスライスに専用の認証モジュールも含む。あるいは、少なくとも2つの認証モジュールの各々が、複数のスライスによって共有される認証モジュールであり、または、単一のスライスに専用の認証モジュールであり得る。複数の共有される認証モジュールがあることがあり、各々の共有される認証モジュールが少なくとも2つのスライスにサービスする。複数の専用の認証モジュールがあることもあり、各々の専用の認証モジュールが1つのスライスにサービスする。特定の実装形態では、認証モジュールの量および認証モジュールによってサービスされるスライスの分布状態が、実際の適用シナリオに基づいて決定されることがあり、これは本明細書では限定されない。
本発明のこの実施形態では、ネットワーク機能選択モジュールは、AU選択機能(英語:AU Selection Function,AUSF)、AUルーティング機能(英語:AU Routing Function,AURF)、SSF、モビリティ管理(英語:Mobility Management,MM)などを含み得る。詳細は、実際の適用シナリオに基づいて決定されることがあり、本明細書では限定されない。
本発明のこの実施形態では、認証モジュールは、AU、フロントエンド、アクセス制御エージェント(英語:Access Control Agent,ACA)などを含み得る。詳細は、実際の適用シナリオに基づいて決定されることがあり、本明細書では限定されない。
図4は、本発明の実施形態による、管理システムの中の機能モジュール(UE、AN、ネットワーク機能選択モジュール、および認証モジュールを含む)によってサイバーセキュリティ管理を実施する概略対話図である。図3に示されるシステムがサイバーセキュリティ管理を実施する処理は、以下のステップを含み得る。
401.UEが第1のサービス要求をネットワーク機能選択モジュールに送信する。
いくつかの実現可能な実装形態において、第1のサービス要求は具体的には、スライスにアタッチされるようにUEが要求するアタッチ要求であり得る。あるいは、第1のサービス要求は、UEがスライスにアタッチされていて、新しいサービス要求を使用することによって別のスライスにアタッチされることを期待するときにUEによって送信される新しいサービス要求であり得る。アタッチ要求または新しいサービス要求は認証プロトコル情報を搬送する。認証プロトコル情報は、UEによってサポートされる1つまたは複数の認証プロトコルの識別子、またはUEによってサポートされる複数の認証プロトコルの各々の選択優先順位などの情報を含む。アタッチ要求または新しいサービス要求はまた、UEがアタッチされるべきスライスの識別子などを搬送し得る。詳細は、実際の適用シナリオに基づいて決定されることがあり、本明細書では限定されない。第1のサービス要求のタイプおよび第1のサービス要求において搬送される認証プロトコル情報は特に、実際の適用シナリオに基づいて決定されることがあり、本明細書では限定されない。
402.ネットワーク機能選択モジュールは、認証プロトコル情報に基づいて、少なくとも2つの認証モジュールから標的認証モジュールを選択する。
403.ネットワーク機能選択モジュールが、第2のサービス要求を標的認証モジュールに送信する。
いくつかの実現可能な実装形態において、UEによって送信される第1のサービス要求を受信した後で、ネットワーク機能選択モジュールは、第1のサービス要求において搬送される認証プロトコル情報に基づいて少なくとも2つの認証モジュールから標的認証モジュールを選択し得る。特定の実装形態では、認証プロトコル情報がUEによってサポートされる1つの認証プロトコル(たとえば、第1の認証プロトコル)の識別子を搬送する場合、ネットワーク機能選択モジュールは、第1の認証プロトコルの識別子に基づいて、第1の認証プロトコルをサポートする認証モジュールを、複数の認証モジュールから標的認証モジュールとして選択し得る。1つより多くの認証モジュールが第1の認証プロトコルをサポートする場合、ネットワーク機能選択モジュールは、各認証モジュールの負荷状態に基づいて、最も負荷の小さい認証モジュールを認証モジュールから標的認証モジュールとして選択し得る。
さらに、第1のサービス要求が、UEがアタッチされるべきスライス(すなわち、指定されるネットワークスライス)の識別子を搬送する場合、ネットワーク機能選択モジュールは、第1の認証プロトコルの識別子および指定されたネットワークスライスの識別子に基づいて、ネットワークに含まれる少なくとも2つの認証モジュールから標的認証モジュールを選択し得る。標的認証モジュールは、第1の認証プロトコルおよび指定されたネットワークスライスをサポートする認証モジュールである。具体的には、ネットワーク機能選択モジュールはまず、第1の認証プロトコルの識別子に基づいて、複数の認証モジュールから第1の認証プロトコルをサポートする認証モジュールを選択し得る。1つより多くの認証モジュールが第1の認証プロトコルをサポートする場合、ネットワーク機能選択モジュールは、指定されたネットワークスライスの識別子に基づいて、UEがアタッチされるべきスライスと関連付けられる認証モジュールを、第1の認証プロトコルをサポートする複数の認証モジュールから標的認証モジュールとして選択し得る。UEがアタッチされるべきスライスと関連付けられる認証モジュールは、そのスライスにサービスする認証モジュールであり得る。加えて、あるいは、ネットワーク機能選択モジュールはまず、指定されたネットワークスライスの識別子に基づいて、複数の認証モジュールから指定されたネットワークスライスをサポートする認証モジュールを選択し得る。1つより多くの認証モジュールが指定されたネットワークスライスをサポートする場合、ネットワーク機能選択モジュールは、第1の認証プロトコルに従って、第1の認証プロトコルをサポートする認証モジュールを、指定されたネットワークスライスをサポートする複数の認証モジュールから標的認証モジュールとして選択し得る。さらに、あるいは、ネットワーク機能選択モジュールは、第1の認証プロトコルの識別子および指定されたネットワークスライスの識別子に基づいて、複数の認証モジュールから同時に標的認証モジュールを選択し得る。特定の選択処理における認証モジュール選別方式は、実際の適用シナリオに基づいて決定されることがあり、本明細書では限定されない。
さらに、いくつかの実現可能な実装形態において、1つより多くの標的認証モジュールは、第1の認証プロトコルの識別子に基づいて、または第1の認証プロトコルの識別子および指定されたネットワークスライスの識別子に基づいて選択され、ネットワーク機能選択モジュールは、各々の選択された被決定候補の標的認証モジュールの負荷状態に基づいて最終的に選択される標的認証モジュールとして、複数の選択された被決定候補の標的認証モジュールから最も負荷の小さい認証モジュールを選択し得る。
いくつかの実現可能な実装形態において、認証プロトコル情報がUEによってサポートされる複数の認証プロトコル(各認証プロトコルはたとえば、第2の認証プロトコルである)の識別子を搬送する場合、ネットワーク機能選択モジュールは、UEによってサポートされる第2の認証プロトコルの識別子に基づいて、標的認証モジュールをネットワークに含まれる複数の認証モジュールから選択し得る。特定の実装形態では、システムに含まれる複数の認証モジュールのうちの1つだけがUEによってサポートされる認証プロトコルをサポートする場合、その認証モジュールが標的認証モジュールとして決定され得る。ネットワークに含まれる複数の認証モジュールがUEによってサポートされる認証プロトコルのうちの1つをサポートする複数の認証モジュールを含む場合、最も負荷の小さい認証モジュールが、認証プロトコルをサポートする複数の認証モジュールから標的認証モジュールとして選択され得る。ネットワークに含まれる複数の認証モジュールが異なる認証プロトコルをサポートする複数の異なる認証モジュールを含む場合、ネットワーク機能選択モジュールは、各認証プロトコルの選択優先順位または各認証モジュールの負荷状態に基づいて、複数の異なる認証モジュールから標的認証モジュールを選択する。
いくつかの実現可能な実装形態において、ネットワークに含まれる複数の認証モジュールが異なる認証プロトコルをサポートする複数の異なる認証モジュールを含む場合、ネットワーク機能選択モジュールは、ネットワークにおいて設定される認証プロトコル選択優先順位に基づいて、UEによってサポートされる複数の認証プロトコルから最も高い選択優先順位を有する認証プロトコルを決定することがあり、次いで、最も高い選択優先順位を有する認証プロトコルをサポートする被選択候補の認証モジュールを、異なる認証プロトコルをサポートする複数の異なる認証モジュールから標的認証モジュールとして選択することがある。1つより多くの被選択候補の認証モジュールが最高の選択優先順位を有する認証プロトコルをサポートする場合、各々の被選択候補の認証モジュールの負荷状態に基づいて、最も負荷の小さい認証モジュールが、認証モジュールから標的認証モジュールとして選択され得る。
いくつかの実現可能な実装形態において、ネットワークに含まれる複数の認証モジュールが異なる認証プロトコルをサポートする複数の異なる認証モジュールを含む場合、ネットワーク機能選択モジュールは直接、各認証モジュールの負荷状態に基づいて、最も負荷の小さい認証モジュールを認証モジュールから標的認証モジュールとして選択し得る。
さらに、いくつかの実現可能な実装形態において、第1のサービス要求において搬送される認証プロトコル情報は、UEによってサポートされる複数の認証プロトコルの識別子(各認証プロトコルはたとえば、第3の認証プロトコルであり得る)および各々の第3の認証プロトコルの選択優先順位を含み得る。ネットワーク機能選択モジュールは、UEによってサポートされる第3の認証プロトコルの識別子に基づいて、システムに含まれる複数の認証モジュールから標的認証モジュールを選択し得る。特定の実装形態では、システムに含まれる複数の認証モジュールのうちの1つだけがUEによってサポートされる認証プロトコルをサポートする場合、その認証モジュールが標的認証モジュールとして決定され得る。システムに含まれる複数の認証モジュールがUEによってサポートされる第3の認証プロトコルのうちの1つをサポートする複数の認証モジュールを含む場合、最も負荷の小さい認証モジュールが、第3の認証プロトコルをサポートする複数の認証モジュールから標的認証モジュールとして選択され得る。システムに含まれる複数の認証モジュールが異なる第3の認証プロトコルをサポートする複数の異なる認証モジュールを含む場合、ネットワーク機能選択モジュールは、各認証モジュールの負荷状態に基づいて、最も負荷の小さい認証モジュールを認証モジュールから標的認証モジュールとして選択し得る。
さらに、システムに含まれる複数の認証モジュールが異なる第3の認証プロトコルをサポートする複数の異なる認証モジュールを含む場合、ネットワーク機能選択モジュールはさらに、各々の第3の認証プロトコルの選択優先順位に基づいて、最高の選択優先順位を有する認証プロトコル(たとえば、第4の認証プロトコル)をサポートする認証モジュールを、異なる第3の認証プロトコルをサポートする複数の異なる認証モジュールから標的認証モジュールとして選択し得る。1つより多くの認証モジュールが第4の認証プロトコルをサポートする場合、ネットワーク機能選択モジュールは、各認証モジュールの負荷状態に基づいて、最も負荷の小さい認証モジュールを認証モジュールから標的認証モジュールとして選択し得る。
さらに、いくつかの実現可能な実装形態において、第1のサービス要求は、UEがアタッチされるべきスライスの識別子に加えて、より多くのスライス情報を搬送することがあり、スライス情報は特に、スライスタイプ、スライスによってサポートされるサービスタイプ、スライステナント識別子などを含み得る。認証プロトコル情報に基づいて標的認証モジュールを選択する処理において、ネットワーク機能選択モジュールはまた、スライス情報に関する網羅的な選択を実行することがあり、これは本明細書では限定されない。
いくつかの実現可能な実装形態において、標的認証モジュールを選択した後で、ネットワーク機能選択モジュールは、第2のサービス要求を標的認証モジュールに送信し得る。それに対応して、第2のサービス要求はまた、アタッチ要求または新しいサービス要求であり得る。特定の実装形態では、標的認証モジュールが1つだけの認証プロトコルをサポートする場合、標的認証モジュールに送信される第2のサービス要求は、認証プロトコル情報を搬送する必要がなく、UEの識別子、UEがアタッチされるべきスライスについての情報などを搬送することがある。標的認証モジュールが複数の認証プロトコルをサポートし得る場合、第2のサービス要求は、UEと標的認証モジュールの両方によってサポートされる認証プロトコルのものであり標的認証モジュールの選択の間に使用される識別子を搬送し得る。任意選択で、第2のサービス要求は、UEの識別子、UEがアタッチされるべきスライスについての情報などを搬送することがあり、これは本明細書では限定されない。
404.標的認証モジュールが、第2のサービス要求を受信し、UEとの相互認証を実行する。
いくつかの実現可能な実装形態において、標的認証モジュールが1つだけの認証プロトコルをサポートする場合、標的認証モジュールは直接、認証プロトコルを使用することによってUEと相互認証を実行し得る。標的認証モジュールが複数の認証プロトコルをサポートし得る場合、標的認証モジュールは、ネットワーク機能選択モジュールによって送信される第2のサービス要求を受信し、UEと標的認証モジュールの両方によってサポートされ第2のサービス要求において搬送される認証プロトコルに従って、UEとの相互認証を実行し得る。特定の実装形態では、第2のサービス要求はさらに、UEの識別子、たとえばUEの識別子(ID)を搬送することがあり、これは本明細書では限定されない。UEのIDまたはスライス情報を使用することによってUEとの相互認証を認証モジュールが実施する実装形態については、5Gフレームワークにおけるシステム対話の既存の実装形態を参照されたい。詳細は本明細書では説明されない。
本発明のこの実施形態では、ネットワーク機能選択モジュールが、UEによってサポートされる認証プロトコルについての情報に基づいて、UEによってサポートされる認証プロトコルをサポートする認証モジュールを選択することがあり、次いで、認証モジュールが、UEとの相互認証を実行することがあり、これにより、認証モジュール選択精度およびサイバーセキュリティを改善する。
図5から図7を参照すると、以下は、本発明のこの実施形態において提供される管理システムが様々な適用シナリオにおいて認証モジュール選択を実施する、実装形態を説明する。
いくつかの実現可能な実装形態において、図5は、本発明の実施形態による、管理システムによってAU選択を実施する概略対話図である。図5において、AURFが説明のためにネットワーク機能選択モジュールの例として使用され、AUが説明のために認証モジュールの例として使用され、アタッチ要求が説明のために第1のサービス要求の例として使用される。図5に示される管理システムにおいて提供されるAU選択処理は、以下のステップを含む。
501.UEがアタッチ要求をAURFに送信する。
いくつかの実現可能な実装形態において、UEは1つだけの認証プロトコルをサポートし、UEによってAURFに送信されるアタッチ要求はUEによってサポートされる認証プロトコルの識別子を搬送し得る。アタッチ要求はさらに、UEのID、スライス情報などを搬送し得る。スライス情報は、スライスタイプ、スライスによってサポートされるサービスタイプ、スライステナント識別子などを含むことがあり、これは本明細書では限定されない。
502.AURFが、アタッチ要求において搬送される認証プロトコル識別子などの情報に基づいて標的AUを選択する。
いくつかの実現可能な実装形態において、UEによって送信されるアタッチ要求を受信した後で、AURFは、アタッチ要求において搬送される認証プロトコル識別子に基づいて標的AUを選択することがあり、または、アタッチ要求において搬送されるスライス情報もしくはシステムの中の被選択候補のAUの各々の負荷状態を参照して標的AUを選択することがある。具体的な選択方式については、ステップS402において説明される実装形態を参照されたい。詳細は本明細書では再び説明されない。
503.AURFがアタッチ要求を標的AUに送信する。
いくつかの実現可能な実装形態において、標的AUを決定した後、AURFはアタッチ要求を標的AUに送信し得る。任意選択で、標的AUが複数の認証プロトコルをサポートし得る場合、AURFは、UEによってサポートされる認証プロトコルの識別子をアタッチ要求に追加し得るので、標的AUはUEとの相互認証を実行することができる。アタッチ要求はさらに、UEのID、スライス情報などを搬送し得る。詳細については、ステップS402において説明される実装形態を参照されたい。これは本明細書では限定されない。
504.AUがUEとの相互認証を実行する。
いくつかの実現可能な実装形態において、AURFによって送信されるアタッチ要求を受信した後で、AUはUEとの相互認証を実行し得る。AUが複数の認証プロトコルをサポートする場合、AUは、アタッチ要求に従って、UEによってサポートされる認証プロトコルを決定し、認証プロトコルを使用することによってUEとの相互認証を実行し得る。AUが認証プロトコルを使用することによってUEとの相互認証を実行する具体的な実装形態については、既存の5Gネットワークシステムにおいて提供される実装形態を参照されたい。詳細は本明細書では説明されない。
本発明のこの実施形態では、AURFは、UEによってサポートされる認証プロトコルに従って標的AUを選択することがあり、それにより、AU選択精度、AU選択効率、およびサイバーセキュリティを改善する。
いくつかの実現可能な実装形態において、図6は、本発明の実施形態による、管理システムによってAU選択を実施する別の概略対話図である。図6において、AURFが説明のためにネットワーク機能選択モジュールの例として使用され、AUが説明のために認証モジュールの例として使用され、アタッチ要求が説明のために第1のサービス要求の例として使用される。図6に示される管理システムにおいて提供されるAU選択処理は、以下のステップを含む。
601.UEがアタッチ要求をAURFに送信する。
いくつかの実現可能な実装形態において、UEによってAURFに送信されるアタッチ要求は、UEによって使用されるべき認証プロトコルに対する選好を搬送し得る。認証プロトコルに対する選好は、UEによってサポートされる複数の認証プロトコルの識別子、およびUEによって好まれる認証プロトコルの選択優先順位のインジケーション情報を含む。UEによって好まれる認証プロトコルの選択優先順位のインジケーション情報は、具体的には、UEによってサポートされる複数の認証プロトコルの各々の選択優先順位であり得る。アタッチ要求はさらに、UEのID、スライス情報などを搬送し得る。これは本明細書では限定されない。
602.AURFが、アタッチ要求において搬送される認証プロトコルに対する選好などの情報に基づいて標的AUを選択する。
いくつかの実現可能な実装形態において、UEによって送信されるアタッチ要求を受信した後で、AURFは、アタッチ要求において搬送される認証プロトコル識別子または選択優先順位などの情報に基づいて、標的AUを選択し得る。さらに、AURFは、アタッチ要求において搬送されるスライス情報およびネットワークの中の被選択候補のAUの各々の負荷状態に基づいて、標的AUを選択し得る。具体的な選択方式については、ステップS402において説明される実装形態を参照されたい。詳細は本明細書では再び説明されない。
さらに、いくつかの実現可能な実装形態において、アタッチ要求が複数の認証プロトコルの識別子を搬送する場合、AURFは、各認証プロトコルのものでありネットワークにおいて複数のAUによってサポートされる認証プロトコルに関して設定される、選択優先順位に基づいて、被選択候補のAUから標的AUを選択し得る。具体的な選択方式については、ステップS402において説明される実装形態を参照されたい。詳細は本明細書では再び説明されない。
603.AURFがAU選択肯定応答メッセージをUEに送信する。
いくつかの実現可能な実装形態において、UEが複数の認証プロトコルをサポートする場合、AURFが、UEによってサポートされる認証プロトコル、各AUによってサポートされる認証プロトコル、各AUの負荷状態、およびスライス情報などの情報に基づいて標的AUを選択した後で、AURFは、肯定応答メッセージを使用することによって、選択された標的AUによってサポートされる認証プロトコルの識別子をUEに送信し得る。肯定応答メッセージを受信した後で、UEは、肯定応答メッセージにおいて搬送される認証プロトコル識別子に基づいて、AURFが標的AUを選択するときに使用される認証プロトコル、すなわちUEとAUの両方によってサポートされる認証プロトコルを決定し得る。
特定の実装形態では、AURFによってUEに送信される肯定応答メッセージの動作方式は、任意選択の実装形態であり、実際の適用シナリオに基づいて具体的に決定されることがあることに留意されたい。具体的に、あるいは、AURFが標的AUを選択するときに使用される認証プロトコルを学習するために、UEは、AUがUEとの認証を実行するときにAUによって送信される第1のメッセージにおいて搬送されるインジケーション情報を使用することによって認証プロトコルを決定し得る。インジケーション情報の具体的な形式は、実際の適用シナリオに基づいて決定され得る。これは本明細書では限定されない。
604.AURFがアタッチ要求を標的AUに送信する。
いくつかの実現可能な実装形態において、標的AUを決定した後で、AURFは、認証プロトコル識別子をアタッチ要求に追加し、アタッチ要求を標的AUに送信し得るので、標的AUはUEとの相互認証を実行する。アタッチ要求において搬送される認証プロトコル識別子は、UEによってサポートされる複数の認証プロトコルのうちの1つのものでありAURFが標的AUを選択するときに使用される識別子であり、認証プロトコルを使用することによってUEとの相互認証を実行するようにAUに指示するために使用される。アタッチ要求はさらに、UEのID、スライス情報などを搬送し得る。これは本明細書では限定されない。
605.AUがUEとの相互認証を実行する。
いくつかの実現可能な実装形態において、AURFによって送信されるアタッチ要求を受信した後で、AUはUEとの相互認証を実行し得る。AUが複数の認証プロトコルをサポートする場合、AUは、アタッチ要求に従って、UEによってサポートされる認証プロトコルを決定し、認証プロトコルを使用することによってUEとの相互認証を実行し得る。AUが認証プロトコルを使用することによってUEとの相互認証を実行する具体的な実装形態については、既存の5Gネットワークシステムにおいて提供される実装形態を参照されたい。詳細は本明細書では説明されない。
本発明のこの実施形態では、AURFは、UEによってサポートされる複数の認証プロトコル、認証プロトコルの各々の選択優先順位、ネットワークにおいて設定される認証プロトコル選択優先順位、スライス情報、AU負荷状態などに基づいて標的AUを選択することがあり、それにより、AU選択柔軟性、AU選択精度、AU選択効率、およびサイバーセキュリティを改善する。
いくつかの実現可能な実装形態において、図7は、本発明の実施形態による、管理システムによってAU選択を実施する別の概略対話図である。図7では、ネットワーク機能選択モジュールは第1のサブモジュールおよび第2のサブモジュールを含み得る。AURFが説明のために第1のサブモジュールの例として使用され、AUSFが説明のために第2のサブモジュールの例として使用され、AUが説明のために認証モジュールの例として使用され、アタッチ要求が説明のために第1のサービス要求の例として使用される。図7に示される管理システムにおいて提供されるAU選択処理は、以下のステップを含む。
701.UEがアタッチ要求をAURFに送信する。
いくつかの実現可能な実装形態において、UEによってAURFに送信されるアタッチ要求は、認証プロトコル情報を搬送し得る。認証プロトコル情報は、UEによってサポートされる単一の認証プロトコルの識別子を含むことがあり、または、UEによってサポートされる複数の認証プロトコルの識別子と、UEによってサポートされる認証プロトコルの選択優先順位のインジケーション情報などの情報とを含むことがある。UEによってサポートされる認証プロトコルの選択優先順位のインジケーション情報は、具体的には、UEによってサポートされる複数の認証プロトコルの各々の選択優先順位であり得る。アタッチ要求はさらに、UEのID、スライス情報などを搬送し得る。これは本明細書では限定されない。詳細については、ステップS401において説明される実装形態を参照されたい。詳細は本明細書では再び説明されない。
702.UEによって送信されるアタッチ要求を受信した後で、AURFがAUを選択するようにAUSFに要求する。
いくつかの実現可能な実装形態において、UEによって送信されるアタッチ要求を受信した後で、AURFはAURFと関連付けられるAUSFにAU選択要求を送信し得る。5Gネットワークでは、1つのAUSFが複数のAURFにサービスすることがあり、AUSFがAUを選択するために使用される。AUがネットワークにおいて1だけ増大させられるとき、または減少させられるとき、ネットワークは、AU増大または減少メッセージをAUSFに通知することだけが必要である。AURFがAUを管理する場合、ネットワークは、AU増大または減少メッセージを各AURFに通知することが必要である。1つのAUSFが複数のAURFを管理し得るので、AU増大または減少メッセージを各AUSFに通知することは、AU増大または減少メッセージを各AURFに直接通知するよりも少量のシグナリングを占有するので、ネットワークの処理効率がより高い。
703.AUSFが認証プロトコル情報に基づいて標的AUを選択する。
いくつかの実現可能な実装形態において、AURFによって送信されるAU選択要求を受信した後で、AUSFは、AU選択要求において搬送される認証プロトコル識別子、選択優先順位、スライス情報などに基づいて、標的AUを選択し得る。さらに、AURFは、ネットワークの中の被選択候補のAUの各々の負荷状態に基づいて、標的AUを選択し得る。AUSFによってAUを選択する特定の実装形態では、ステップS402において説明されるネットワーク機能選択モジュールによってAUを選択する実装形態を参照されたい。詳細は本明細書で再び説明されない。図7に示されるシステム構造では、AUはAUSFによって選択されることがあり、AURFはアタッチメッセージを送信するように構成されることがある。
704.AUSFが選択された標的AUの識別子をAURFに送信する。
いくつかの実現可能な実装形態において、標的AUを選択した後で、AUSFは、AURFを使用することによってUEのアタッチメッセージを標的AUに送信するために、選択された標的AUの識別子をAURFに送信し得る。
705.AURFがアタッチ要求を標的AUに送信する。
いくつかの実現可能な実装形態において、AUSFによって送信される標的AUの識別子に基づいて標的AUを決定した後で、AURFは、認証プロトコル識別子をアタッチ要求に追加し、アタッチ要求を標的AUに送信し得るので、標的AUはUEとの相互認証を実行する。アタッチ要求において搬送される認証プロトコル識別子は、UEによってサポートされる複数の認証プロトコルのうちの1つのものでありAUSFが標的AUを選択するときに使用される識別子であり、認証プロトコルを使用することによってUEとの相互認証を実行するようにAUに指示するために使用される。アタッチ要求はさらに、UEのID、スライス情報などを搬送し得る。これは本明細書では限定されない。
706.AUがUEとの相互認証を実行する。
いくつかの実現可能な実装形態において、AURFによって送信されるアタッチ要求を受信した後で、AUはUEとの相互認証を実行し得る。AUが複数の認証プロトコルをサポートする場合、AUは、アタッチ要求に従って、UEによってサポートされる認証プロトコルを決定し、認証プロトコルを使用することによってUEとの相互認証を実行し得る。AUが認証プロトコルを使用することによってUEとの相互認証を実行する具体的な実装形態については、既存の5Gネットワークシステムにおいて提供される実装形態を参照されたい。詳細は本明細書では説明されない。
本発明のこの実施形態では、AURFは、UEによってサポートされる複数の認証プロトコル、認証プロトコルの各々の選択優先順位、ネットワークにおいて設定される認証プロトコル選択優先順位、スライス情報、AU負荷などに基づいて標的AUを選択するようにAUSFに要求することがあり、それにより、AU選択柔軟性を改善し、ネットワークのシグナリングオーバーヘッドを減らし、AU選択精度、ネットワークの実行効率、およびサイバーセキュリティを改善する。
405.標的認証モジュールが、UEがアタッチされるべき指定されたネットワークスライスの指定されたセキュリティポリシーに従って、第1のセキュリティ構成を決定する。
406.標的認証モジュールが第2のサービス要求応答をANに送信する。
407.ANが第1のセキュリティ構成または指定されたセキュリティポリシーに基づいて第2のセキュリティ構成を決定する。
408.ANが第1のサービス要求応答をUEに送信する。
いくつかの実現可能な実装形態において、本発明のこの実施形態において提供される管理システムは、セキュリティポリシーコントローラをさらに含み得る。セキュリティポリシーコントローラは、システムに含まれる各ネットワークスライスのセキュリティポリシーを認証モジュールまたはANに配信するように構成される。特定の実装形態では、本発明のこの実施形態において提供される管理システムにおいて、UEがアタッチされるべきスライスのセキュリティポリシーは標的認証モジュールによって実行されることがあり、または、UEがアタッチされるべきスライスのセキュリティポリシーは標的認証モジュールおよびANによって共同で実行されることがある。特定の実装形態では、ネットワークスライスセキュリティポリシーは、UEとANとの間のシグナリングに対する鍵の長さを指定することがあり、暗号化アルゴリズム選択優先順位、完全性保護アルゴリズム選択優先順位、および鍵の使用範囲などの情報をさらに指定することがある。鍵の使用範囲は、鍵の使用時間長、鍵を使用することによって暗号化され得るデータパケットの量など含み得る。
いくつかの実現可能な実装形態において、UEがアタッチされるべきスライスのセキュリティポリシーが標的認証モジュールによって実行される場合、セキュリティポリシーコントローラは、システムの中の1つまたは複数のネットワークスライスのセキュリティポリシーを標的認証モジュールに送信し得る。1つまたは複数のネットワークスライスは、標的認証モジュールによってサービスされるネットワークスライスのうちの1つまたは複数であることがあり、実際の適用シナリオに基づいて特に決定されることがある。これは本明細書では限定されない。標的認証モジュールは、ネットワーク機能選択モジュールによって送信される第2のサービス要求において搬送されるUEのセキュリティ能力を使用することによって、UEによってサポートされる暗号化アルゴリズムおよび完全性保護アルゴリズムなどの情報を決定し得る。あるいは、標的認証モジュールは、ネットワークを使用することによって、UEのセキュリティ能力、具体的には、UEによってサポートされる暗号化アルゴリズムおよび完全性保護アルゴリズムなどの情報を取得し得る。標的認証モジュールはさらに、ANのセキュリティ能力、具体的には、ANによってサポートされる暗号化アルゴリズム、完全性保護アルゴリズムなどを取得し得る。ANのセキュリティ能力は、ANによって標的認証モジュールに送信され得る。たとえば、ANは、ANのセキュリティ能力を第2のサービス要求に追加し、第2のサービス要求を標的認証モジュールに送信し得る。特定の実装形態では、標的認証モジュールは、UEがアタッチされるべき指定されたネットワークスライスのセキュリティポリシー(すなわち、指定されたセキュリティポリシー)に従って鍵を生成することがあり、UEのセキュリティ能力、ANのセキュリティ能力、および指定されたセキュリティポリシーに基づいて、暗号化アルゴリズムおよび完全性保護アルゴリズムをさらに選択することがある。鍵は、少なくとも2つの鍵、たとえば第1の鍵および第2の鍵を含み得る。第1の鍵は、UEとANとの間のシグナリングを保護するために使用される鍵であることがあり、第2の鍵は、UEとAUとの間のシグナリングを保護するために使用される鍵であることがある。第1の鍵の長さおよび第2の鍵の長さは、指定されたセキュリティポリシーにおいて指定される鍵長と矛盾しない。暗号化アルゴリズムは、UEとANの両方によってサポートされる暗号化アルゴリズムの中で最高の選択優先順位を有する暗号化アルゴリズムであることがあり、完全性保護アルゴリズムは、UEとANの両方によってサポートされる完全性保護アルゴリズムの中で最高の選択優先順位を有する完全性保護アルゴリズムであることがある。
いくつかの実現可能な実装形態において、第1の鍵および第2の鍵を生成して標的暗号化アルゴリズムおよび標的完全性保護アルゴリズムを選択した後で、標的認証モジュールは、第2のサービス要求応答を使用することによって第1のセキュリティ構成情報をANに送信するために、第1の鍵、標的暗号化アルゴリズムの識別子、および標的完全性保護アルゴリズムの識別子に基づいて第1のセキュリティ構成を生成し、第1のセキュリティ構成を第2のサービス要求応答に追加し得る。第1のセキュリティ構成情報は、第1の鍵の使用範囲、標的暗号化アルゴリズムの識別子、および標的完全性保護アルゴリズムの識別子などの情報を含み得る。
いくつかの実現可能な実装形態において、標的認証モジュールによって送信される第2のサービス要求応答を受信した後で、ANは、第2のサービス要求応答において搬送される第1の構成情報に基づいて、鍵および暗号化アルゴリズムの識別子または完全性保護アルゴリズムの識別子などの情報を決定し得る。第1のセキュリティ構成が、第1の鍵、暗号化アルゴリズムの識別子、および完全性保護アルゴリズムの識別子などの情報を搬送する場合、ANは、セキュリティポリシーを実行する必要はなく、鍵を直接記憶し、第1のセキュリティ構成において搬送される暗号化アルゴリズムの識別子および完全性保護アルゴリズムの識別子を第2のセキュリティ構成として決定し、第2のセキュリティ構成を第1のサービス要求応答に追加し、次いで、第2のセキュリティ構成をUEに通知するために第1のサービス要求応答をUEに送信し得る。
いくつかの実現可能な実装形態において、UEがアタッチされるべきスライスのセキュリティポリシーが標的認証モジュールおよびANによって共同で実行される場合、セキュリティポリシーコントローラは、標的認証モジュールによってサポートされる1つまたは複数のネットワークスライスのセキュリティポリシーを標的認証モジュールに送信することがあり、セキュリティポリシーコントローラはさらに、システムの中の各ネットワークスライスのセキュリティポリシーをANに送信することがある。標的認証モジュールは、ネットワーク機能選択モジュールによって送信される第2のサービス要求において搬送されるUEのセキュリティ能力を使用することによって、UEによってサポートされる暗号化アルゴリズムおよび完全性保護アルゴリズムなどの情報を決定することがあり、UEのセキュリティ能力をANにさらに送信することがある。あるいは、標的認証モジュールおよびANは、ネットワークを使用することによって、UEのセキュリティ能力、具体的には、UEによってサポートされる暗号化アルゴリズムおよび完全性保護アルゴリズムなどの情報を取得し得る。特定の実装形態では、標的認証モジュールは、少なくとも2つの鍵、たとえば、指定されたセキュリティポリシーに従って第1の鍵および第2の鍵を生成し得る。さらに、標的認証モジュールは、第1の鍵の使用範囲および指定されたネットワークスライスの識別子などの情報に基づいて第1のセキュリティ構成を生成し、第1の構成を第2のサービス要求応答に追加し得る。
いくつかの実現可能な実装形態において、標的認証モジュールによって送信される第2のサービス要求応答を受信した後で、ANは、第2のサービス要求応答において搬送される第1の構成情報に基づいて、鍵および暗号化アルゴリズムの識別子または完全性保護アルゴリズムの識別子などの情報を決定し得る。第1のセキュリティ構成が第1の鍵についての情報だけを搬送する場合、ANはセキュリティポリシーを実行する必要がある。具体的には、ANは、指定されたネットワークスライスの識別子に基づいて、指定されたネットワークスライスの識別子に対応する指定されたセキュリティポリシーを決定し、次いで、UEのセキュリティ能力および指定されたセキュリティポリシーに基づいて標的暗号化アルゴリズムおよび標的完全性保護アルゴリズムを選択し得る。さらに、ANは、標的暗号化アルゴリズムの識別子および標的完全性保護アルゴリズムの識別子を第1のセキュリティ構成に追加して、第2のセキュリティ構成を取得し、第2のセキュリティ構成を第1のサービス要求応答に追加し、第2のセキュリティ構成をUEに通知するために第1のサービス要求応答をUEに送信し得る。
本発明のこの実施形態では、認証プロトコルに従って選択された標的認証モジュールがセキュリティ構成を生成することがあり、または、認証プロトコルおよびANに従って選択された標的認証モジュールがセキュリティ構成を生成することがあるので、選択柔軟性が高く、サイバーセキュリティが改善される。
図8および図9を参照すると、以下は、本発明のこの実施形態において提供される管理システムが様々な適用シナリオにおいてセキュリティポリシーを実行する、実装形態を説明する。
いくつかの実現可能な実装形態において、図8は、本発明の実施形態による、管理システムによってセキュリティポリシーを実行する概略対話図である。図8に示されるシステム構造は、UE、AN、認証モジュール、およびセキュリティポリシーコントローラを含み、セキュリティ構成は、ANおよび認証モジュールによって共同で実行される。AUが説明のために認証モジュールの例として使用され、アタッチ要求が説明のために第1のサービス要求と第2のサービス要求の両方の例として使用される。図8に示される管理システムにおいて提供されるセキュリティ構成を実行する処理は、以下のステップを含む。
801.ANがANのセキュリティ能力をセキュリティポリシーコントローラに報告する。
いくつかの実現可能な実装形態において、任意選択で、ANは、セキュリティポリシーを実行する前にANのセキュリティ能力をセキュリティポリシーコントローラに報告することがあり、セキュリティポリシーコントローラは後続のセキュリティポリシー配信のためにANのセキュリティ能力を記録することがある。ANのセキュリティ能力は、ANによってサポートされる暗号化アルゴリズム、完全性保護アルゴリズムなどを含むことがあり、これは本明細書では限定されない。
802.セキュリティポリシーコントローラが各ネットワークスライスのセキュリティポリシーをANに配信する。
いくつかの実現可能な実装形態において、セキュリティ構成を実行する処理において、セキュリティポリシーコントローラは、各スライスのセキュリティポリシーをANに配信し得るので、ANはセキュリティポリシーを実行することができる。各スライスのセキュリティポリシーは、スライスによってサポートされる各暗号化アルゴリズムの選択優先順位、スライスによってサポートされる各完全性保護アルゴリズムの選択優先順位、ならびに鍵の長さおよび使用範囲などの情報を含む。鍵は、UEとANとの間のシグナリングを保護するために使用される第1の鍵と、UEと認証モジュールとの間のシグナリングを保護するために使用される第2の鍵とを含む。異なるスライスのセキュリティポリシーは、鍵の異なる長さおよび異なる使用範囲を指定することがあり、異なるスライスのセキュリティポリシーはまた、異なる暗号化アルゴリズム選択優先順位および異なる完全性保護アルゴリズム選択優先順位を含むことがある。詳細は、実際の適用シナリオに基づいて決定されることがあり、本明細書では限定されない。
803.セキュリティポリシーコントローラが1つまたは複数のスライスのセキュリティポリシーをAUに配信する。
いくつかの実現可能な実装形態において、セキュリティポリシーコントローラがセキュリティポリシーを配信する先のAUは具体的には、ネットワーク機能選択モジュールによって選択される標的AUであり得る。標的AU(以下では略してAU)は1つまたは複数のスライスをサービスし得る。セキュリティポリシーコントローラは、AUによってサービスされるすべてのスライスのセキュリティポリシーをAUに配信し得る。セキュリティポリシーは、鍵の長さおよび鍵の使用範囲などの情報を含み得る。
804.UEがアタッチ要求をANに送信する。
いくつかの実現可能な実装形態において、アタッチ要求は、UEによってネットワーク機能選択モジュールに送信される第1のサービス要求(すなわち、アタッチ要求)であり得る。UEはアタッチ要求をANに送信し、ANは、UEによって送信されるアタッチ要求を、システムの中のネットワーク機能選択モジュールなどに送信し得る。特定の実装形態では、UEによってANに送信されるアタッチ要求は、UEのセキュリティ能力、UEがアタッチされるべきスライスのスライス情報などを搬送し得る。UEのセキュリティ能力は、UEによってサポートされる暗号化アルゴリズム、完全性保護アルゴリズムなどを含む。UEがアタッチされるべきスライスのスライス情報は、スライス識別子、スライスタイプ、スライスによってサポートされるサービスタイプ、スライステナント識別子などを含み、具体的には実際の適用シナリオ要件に基づいて決定され得る。これは本明細書では限定されない。
805.ANがアタッチ要求をAUに送信する。
いくつかの実現可能な実装形態において、ANがアタッチ要求をAUに直接送信することがあり、または、別のネットワーク要素(たとえば、ネットワーク機能選択モジュール)がアタッチ要求をAUに転送することがある。たとえば、ANは、ネットワーク機能選択モジュールを使用することによって第2のサービス要求をAUに送信し得る。ANによってAUに送信されるアタッチ要求はまた、UEのセキュリティ能力またはUEがアタッチされるべきスライスのスライス情報などの情報を搬送することがあり、これは本明細書では限定されない。AUが複数のスライスをサービスする場合、アタッチ要求をAUに送信するとき、ANは、UEがアタッチされるべきスライスの識別子などのスライス情報をアタッチ要求に追加し得る。AUが単一のスライスをサービスする場合、アタッチ要求をAUに送信するとき、ANは、UEがアタッチされるべきスライスの識別子などのスライス情報をアタッチ要求に追加しないことがある。アタッチ要求が、UEがアタッチされるべきスライスの識別子などのスライス情報を搬送するかどうかは、具体的には実際の適用シナリオに基づいて決定されることがあり、本明細書では限定されない。詳細は以下で説明されない。
806.AUがUEとの相互認証を実行する。
いくつかの実現可能な実装形態において、UEがアタッチ要求を送信してAUがアタッチ要求を受信しUEとの相互認証を実行する具体的な実装形態については、前述の実施形態のステップS401からS404において説明された実装形態を参照されたい。詳細は本明細書で再び説明されない。
807.AUが、UEがアタッチされるべきスライスのセキュリティポリシーに従って鍵を生成する。
いくつかの実現可能な実装形態において、AUは、UEがアタッチされるべきスライス(すなわち、前述の指定されたネットワークスライス)のセキュリティポリシーに従って少なくとも2つの鍵を生成し、少なくとも2つの鍵は第1の鍵および第2の鍵を含む。第1の鍵の長さおよび第2の鍵の長さは、指定されたネットワークスライスのセキュリティポリシー(すなわち、前述の指定されたセキュリティポリシー)において指定される鍵長と矛盾しない。
AUはさらに、鍵および指定されたネットワークスライスの識別子に基づいて第1のセキュリティ構成を生成し、ANに送信されるべき第2のサービス要求応答に第1のセキュリティ構成を追加し得る。第2のサービス要求応答は、具体的には、UEが指定されたネットワークスライスに成功裏にアタッチされることを示すアタッチ成功メッセージであり得る。
808.AUがアタッチ成功メッセージをANに送信する。
いくつかの実現可能な実装形態において、アタッチ成功メッセージは、指定されたネットワークスライスの識別子および鍵などの情報を搬送し得る。
809.ANが鍵および指定されたセキュリティポリシーに基づいて第2のセキュリティ構成を生成する。
いくつかの実現可能な実装形態において、アタッチ成功メッセージを受信した後で、ANは、指定されたネットワークスライスの識別子および第1のセキュリティ構成などの情報をアタッチ成功メッセージから取得し得る。ANは、第1のセキュリティ構成において搬送される鍵を記憶し、第1のセキュリティ構成において搬送される指定されたネットワークスライスの識別子に基づいて、指定されたネットワークスライスの識別子に対応する指定されたセキュリティポリシーを決定し、次いで、UEのセキュリティ能力および指定されたセキュリティポリシーに基づいて標的暗号化アルゴリズムおよび標的完全性保護アルゴリズムを選択し得る。さらに、ANは、標的暗号化アルゴリズムの識別子および標的完全性保護アルゴリズムの識別子を第1のセキュリティ構成に追加して、第2のセキュリティ構成を取得し、第2のセキュリティ構成をUEへ送信されるべき第1のサービス要求応答に追加し、第のサービス要求応答を使用することによって第2のセキュリティ構成をUEに送信し得る。
810.ANがセキュリティ構成をUEに送信する。
いくつかの実現可能な実装形態において、ANは、第2のセキュリティ構成情報を第1のサービス要求応答(すなわち、アタッチ要求応答)に追加し、アタッチ要求応答をUEに送信して、アタッチ要求応答を使用することによって第2のセキュリティ構成をUEに通知し得る。
本発明のこの実施形態では、システムにおいて、AUおよびANはセキュリティポリシーを実行することがあり、セキュリティ構成の実行を通じて、UEは指定されたネットワークスライスにアタッチされることがあり、それにより、システムセキュリティを保証してマルチスライスサイバーセキュリティ管理を実施する。
いくつかの実現可能な実装形態において、図9は、本発明の実施形態による、管理システムによってセキュリティポリシーを実行する別の概略対話図である。図9に示されるシステム構造は、UE、AN、および認証モジュールを含む。セキュリティ構成は認証モジュールによって実行され、ANはANのセキュリティ能力を認証モジュールに報告してセキュリティポリシーを転送し得る。AUが説明のために認証モジュールの例として使用され、アタッチ要求が説明のために第1のサービス要求と第2のサービス要求の両方の例として使用される。図9に示される管理システムにおいて提供されるセキュリティ構成を実行する処理は、以下のステップを含む。
901.セキュリティポリシーコントローラが1つまたは複数のスライスのセキュリティポリシーをAUに配信する。
いくつかの実現可能な実装形態において、セキュリティポリシーコントローラがセキュリティポリシーを配信する先のAUは具体的には、ネットワーク機能選択モジュールによって選択される標的AUであり得る。標的AU(以下では略してAU)は1つまたは複数のスライスをサービスし得る。セキュリティポリシーコントローラは、AUによってサービスされるすべてのスライスのセキュリティポリシーをAUに配信し得る。各スライスのセキュリティポリシーは、スライスによってサポートされる各暗号化アルゴリズムの選択優先順位、スライスによってサポートされる各完全性保護アルゴリズムの選択優先順位、ならびに鍵の長さおよび使用範囲などの情報を含む。鍵は、UEとANとの間のシグナリングを保護するために使用される第1の鍵と、UEと認証モジュールとの間のシグナリングを保護するために使用される第2の鍵とを含む。異なるスライスのセキュリティポリシーは、鍵の異なる長さおよび異なる使用範囲を指定することがあり、異なるスライスのセキュリティポリシーはまた、異なる暗号化アルゴリズム選択優先順位および異なる完全性保護アルゴリズム選択優先順位を含むことがある。詳細は、実際の適用シナリオに基づいて決定されることがあり、本明細書では限定されない。
902.ANがANのセキュリティ能力をAUに報告し得る。
いくつかの実現可能な実装形態において、ANは、ANによってサポートされる暗号化アルゴリズムまたは完全性保護アルゴリズムなどの情報をAUに送信し得るので、AUは、ANのセキュリティ能力およびUEのセキュリティ能力に基づいて、対応する暗号化アルゴリズムまたは完全性保護アルゴリズムを選択する。ANのセキュリティ能力をAUに報告する処理は、AUがセキュリティポリシーを実行する前のいずれの瞬間にも実行されてよい。これは本明細書では限定されない。AUは、後続のセキュリティポリシー実行のためにANのセキュリティ能力を記憶し得る。
903.UEがアタッチ要求をANに送信する。
いくつかの実現可能な実装形態において、アタッチ要求は、UEによってネットワーク機能選択モジュールに送信される第1のサービス要求(すなわち、アタッチ要求)であり得る。UEはアタッチ要求をANに送信し、ANは、UEによって送信されるアタッチ要求を、システムの中のネットワーク機能選択モジュールなどに送信し得る。特定の実装形態では、UEによってANに送信されるアタッチ要求は、UEのセキュリティ能力、UEがアタッチされるべきスライスのスライス情報などを搬送し得る。UEのセキュリティ能力は、UEによってサポートされる暗号化アルゴリズム、完全性保護アルゴリズムなどを含む。UEがアタッチされるべきスライスのスライス情報は、スライス識別子、スライスタイプ、スライスによってサポートされるサービスタイプ、スライステナント識別子などを含み、具体的には実際の適用シナリオ要件に基づいて決定され得る。これは本明細書では限定されない。
904.ANがアタッチ要求をAUに送信する。
いくつかの実現可能な実装形態において、ANがアタッチ要求をAUに直接送信することがあり、または、別のネットワーク要素(たとえば、ネットワーク機能選択モジュール)がアタッチ要求をAUに転送することがある。たとえば、ANは、ネットワーク機能選択モジュールを使用することによって第2のサービス要求をAUに送信し得る。ANによってAUに送信されるアタッチ要求はまた、UEのセキュリティ能力またはUEがアタッチされるべきスライスのスライス情報などの情報を搬送することがあり、これは本明細書では限定されない。
905.AUがUEとの相互認証を実行する。
いくつかの実現可能な実装形態において、AUがアタッチ要求を受信した後にUEとの相互認証を実行する特定の実装形態については、前述の実施形態のステップS401からS404において説明された実装形態を参照されたい。詳細は本明細書で再び説明されない。
906.AUが、UEがアタッチされるべきスライスのセキュリティポリシー、UEのセキュリティ能力、およびANのセキュリティ能力などの情報に基づいて、第1のセキュリティ構成を生成する。
いくつかの実現可能な実装形態において、AUは、第2のサービス要求(すなわち、アタッチ要求)において搬送されるUEのセキュリティ能力を使用することによって、UEによってサポートされる暗号化アルゴリズムおよび完全性保護アルゴリズムなどの情報を決定し得る。あるいは、AUは、ネットワークを使用することによって、UEのセキュリティ能力、具体的には、UEによってサポートされる暗号化アルゴリズムおよび完全性保護アルゴリズムなどの情報を取得し得る。AUはさらに、ANのセキュリティ能力、具体的には、ANによってサポートされる暗号化アルゴリズム、完全性保護アルゴリズムなどを取得し得る。特定の実装形態では、AUは、UEがアタッチされるべき指定されたネットワークスライスのセキュリティポリシー(すなわち、指定されたセキュリティポリシー)に従って鍵を生成することがあり、UEのセキュリティ能力、ANのセキュリティ能力、および指定されたセキュリティポリシーに基づいて、暗号化アルゴリズムおよび完全性保護アルゴリズムをさらに選択することがある。鍵は、少なくとも2つの鍵、たとえば第1の鍵および第2の鍵を含み得る。第1の鍵は、UEとANとの間のシグナリングを保護するために使用される鍵であることがあり、第2の鍵は、UEとAUとの間のシグナリングを保護するために使用される鍵であることがある。第1の鍵の長さおよび第2の鍵の長さは、指定されたセキュリティポリシーにおいて指定される鍵長と矛盾しない。暗号化アルゴリズムは、UEとANの両方によってサポートされる暗号化アルゴリズムの中で最高の選択優先順位を有する暗号化アルゴリズムであることがあり、完全性保護アルゴリズムは、UEとANの両方によってサポートされる完全性保護アルゴリズムの中で最高の選択優先順位を有する完全性保護アルゴリズムであることがある。
いくつかの実現可能な実装形態において、第1の鍵および第2の鍵を生成して標的暗号化アルゴリズムおよび標的完全性保護アルゴリズムを選択した後で、AUは、第2のサービス要求応答を使用することによって第1のセキュリティ構成情報をANに送信するために、第1の鍵、標的暗号化アルゴリズムの識別子、および標的完全性保護アルゴリズムの識別子に基づいて第1のセキュリティ構成を生成し、第1のセキュリティ構成を第2のサービス要求応答に追加し得る。第1のセキュリティ構成情報は、第1の鍵の使用範囲、標的暗号化アルゴリズムの識別子、および標的完全性保護アルゴリズムの識別子などの情報を含み得る。
907.AUがアタッチ成功メッセージをANに送信する。
いくつかの実現可能な実装形態において、アタッチ成功メッセージは、第1のセキュリティ構成情報を搬送し得る。
908.ANが第1のセキュリティ構成をUEに送信する。
いくつかの実現可能な実装形態において、アタッチ成功メッセージを受信した後で、ANは、アタッチ成功メッセージから第1のセキュリティ構成を取得し、第1のセキュリティ構成において搬送される鍵をさらに記憶し、第1のセキュリティ構成において搬送される暗号化アルゴリズムの識別子および完全性保護アルゴリズムの識別子に基づいて第2のセキュリティ構成を生成し、UEに送信されるべき第1のサービス要求応答に第2のセキュリティ構成を追加し、第1のサービス要求応答を使用することによって第2のセキュリティ構成をUEに送信し得る。
本発明のこの実施形態では、システムにおいて、AUはセキュリティポリシーを実行することがあり、セキュリティ構成の実行を通じて、UEは指定されたネットワークスライスにアタッチされることがあり、それにより、システムセキュリティを保証してマルチスライスサイバーセキュリティ管理を実施する。
図10A、図10B、および図10Cから図14を参照すると、以下は、本発明のこの実施形態において提供される管理システムが様々な適用シナリオにおいてサイバーセキュリティ管理を実行する、実装形態を説明する。
いくつかの実現可能な実装形態において、図10A、図10B、および図10Cは、本発明の実施形態による、管理システムによってサイバーセキュリティ管理を実行する概略対話図である。図10A、図10B、および図10Cに示されるシステム構造は、UE、AN、ネットワーク機能選択モジュール、および認証モジュールを含む。SSFおよびMMが説明のためにネットワーク機能選択モジュールの例として使用され、SSFとMMの両方がAURFおよびAUSFの機能を提供し得る。AUが説明のために認証モジュールの例として使用され、アタッチ要求が説明のために第1のサービス要求と第2のサービス要求の両方の例として使用される。図10A、図10B、および図10Cにおいて、本発明のこの実施形態において提供される管理システムはさらに、5Gネットワークアーキテクチャにおいてセッション管理(英語:Session Management,SM)、UP−GW、および契約データベースと対話し得る。
この適用シナリオでは、UEはスライス識別子を提供することができず、UEはアタッチ手順において認証を2回実行することになる。スライス選択がAU選択の初回に実施されることがあり、AU選択の初回はSSFにおいて実行される。スライスのセキュリティポリシーがAU選択の2回目に実施されることがあり、AU選択の2回目はMMにおいて実行される。SSFとMMの両方が、AUSFおよびAURFの機能を提供する。
図10A、図10B、および図10Cに示される管理システムにおいて提供されるサイバーセキュリティ管理を実行する処理は、以下のステップを含む。
1001.UEがアタッチ要求をANに送信し、ANを使用することによってアタッチ要求をSSFに送信する。
特定の実装形態では、アタッチ要求は前述の第1のサービス要求であることがあり、アタッチ要求は認証プロトコル情報を搬送する。
1002.SSFが認証プロトコル情報に基づいてAUを選択する。
特定の実装形態では、SSFが認証プロトコル情報に基づいてAUを選択する特定の実装形態処理については、ステップS402において説明される実装形態を参照されたい。詳細は本明細書で再び説明されない。
1003.AUが、選択された認証プロトコルを使用することによってUEとの相互認証を実行し、認証結果をSSFに通知する。
ステップS1003は以下のサブステップを含み得る。
3a.SSFがアタッチ要求をAUに送信する。
アタッチ要求は認証プロトコル情報を搬送する。AUは、認証プロトコル情報に基づいて、UEとAUの両方によってサポートされる認証プロトコルを選択し得る。具体的な選択方式については、ステップS401からS404において説明される実装形態を参照されたい。
3b.AUが認証プロトコルの識別子をUEにフィードバックする。
標的認証プロトコルを選択した後で、AUは、標的認証プロトコルを使用することによってUEとの相互認証を実施するために、認証プロトコルの識別子をUEに送信し得る。
3c.AUがUEとの相互認証を実行する。
3d.AUがUEとの相互認証の結果をSSFに送信する。
1004.SSFがスライスを選択する。
特定の実装形態では、SSFは、AUとUEとの間の認証の結果に基づいて、UEがアタッチされるべきスライスを選択する。具体的な実装形態については、既存の5Gネットワークシステムにおいて提供される実装形態を参照されたい。詳細は本明細書では説明されない。
1005.SSFがスライスの識別子をANに送信する。
特定の実装形態では、SSFは、ANを使用することによってUEをスライスにアタッチするためのMMを選択するために、スライスを選択した後でスライスの識別子をANに送信し得る。
1006.ANがMMを選択する。
UEがアタッチされるべきスライスの識別子に基づいてANがMMを選択する具体的な実装形態については、既存の5Gネットワークシステムにおいて提供される実装形態を参照されたい。詳細は本明細書では説明されない。
1007.UEが、以下のステップを含めて、選択されたスライスへのアタッチを実行する。
7a.ANがUEのアタッチ要求をMMに送信する。
アタッチ要求は認証プロトコル情報を含む。
7b.MMが認証プロトコル情報に基づいてAUを選択する。
7c.MMがUEのアタッチ要求を選択されたAUに送信する。
アタッチ要求は認証プロトコル情報を含み得る。選択されたAUが1つだけの認証プロトコルをサポートする場合、アタッチ要求は認証プロトコル情報を含まないことがある。選択されたAUが複数の認証プロトコルをサポートする場合、アタッチ要求はAU選択の間に決定される認証プロトコルを含み得る。
7d.AUが選択された認証プロトコルの識別子をUEに通知する。
任意選択で、選択された認証プロトコルの識別子は、AURFの機能を提供するSSFまたはMMによって送信されることがあり、これは本明細書では限定されない。
7e.UEがAUとの相互認証を実行し、UEがスライスにアタッチされることをAUが認可する。
特定の実装形態では、AUが認証プロトコルに従ってUEとの相互認証を実行する、7a〜7eにおいて説明された実装形態については、ステップS401およびS40において説明された実装形態を参照されたい。詳細は本明細書では再び説明されない。
7f.UP接続を設定する。
7g.スライスのセキュリティポリシーを実行する。
特定の実装形態では、AUは、UEがアタッチされるべきスライスのセキュリティポリシーなどの情報に基づいて、第1のセキュリティ構成を生成する。第1のセキュリティ構成は、鍵を含み、暗号化アルゴリズムの識別子または完全性保護アルゴリズムの識別子などの情報をさらに含むことがあり、具体的には、AUによってセキュリティポリシーを実行する実装形態に従って決定されることがある。詳細については、前述の適用シナリオにおいて説明される実装形態を参照されたい。詳細は本明細書では再び説明されない。
7h.AUがアタッチ応答をANに送信する。
アタッチ応答は第1のセキュリティ構成を含み得る。
1008.スライスのセキュリティポリシーを実行する。
任意選択で、ANは、第1のセキュリティ構成およびUEがアタッチされるべきスライスのセキュリティポリシーなどの情報に基づいて、第2のセキュリティ構成を決定する。AUによって生成される第1のセキュリティ構成が、鍵、暗号化アルゴリズム、および完全性保護アルゴリズムなどの情報を含む場合、このステップは省略され得る。AUによって生成される第1のセキュリティ構成が鍵のみを含む場合、ANはさらに、鍵、暗号化アルゴリズム、および完全性保護アルゴリズムなどの情報を含む第2のセキュリティ構成を決定するために、暗号化アルゴリズムおよび完全性保護アルゴリズムなどの情報を選択し得る。
1009.ANがアタッチ応答をUEに送信する。
アタッチ応答は第2のセキュリティ構成を含み得る。
いくつかの実現可能な実装形態において、図11は、本発明の実施形態による、管理システムによってサイバーセキュリティ管理を実行する別の概略対話図である。図11に示されるシステム構造は、UE、AN、ネットワーク機能選択モジュール、および認証モジュールを含む。SSFおよびMMが説明のためにネットワーク機能選択モジュールの例として使用され、SSFとMMの両方がAURFおよびAUSFの機能を提供し得る。AUが説明のために認証モジュールの例として使用され、アタッチ要求が説明のために第1のサービス要求と第2のサービス要求の両方の例として使用される。図11では、本発明のこの実施形態において提供される管理システムはさらに、5GネットワークアーキテクチャにおいてSM、GW−U、および契約データベースと対話し得る。
この適用シナリオでは、UEはスライス識別子を提供し、UEはアタッチ手順において認証を1回実行することになる。AU選択がMMにおいて実行される。MMが、AUSFおよびAURFの機能を提供する。
図11に示される管理システムにおいて提供されるサイバーセキュリティ管理を実行する処理は、以下のステップを含む。
1101.UEがアタッチ要求をANに送信し、要求はUEの認証プロトコル情報を含む。
1102.ANがUEのアタッチ要求をMMに送信する。
1103.MMがアタッチ要求の中の認証プロトコル情報に基づいてAUを選択する。
1104.MMがUEのアタッチ要求を選択されたAUに送信し、要求は認証プロトコル情報を含む。
1105.(任意選択)AUが選択された認証プロトコルの識別子をUEに通知する。
1106.UEが認証プロトコルを使用することによってAUとの相互認証を実行する。
1107.(任意選択)UP接続を設定する。
1108.スライスのセキュリティポリシーを実行する。
特定の実装形態では、AUは、UEがアタッチされるべきスライスのセキュリティポリシーなどの情報に基づいて、第1のセキュリティ構成を生成する。第1のセキュリティ構成は、鍵を含み、暗号化アルゴリズムの識別子または完全性保護アルゴリズムの識別子などの情報をさらに含むことがあり、具体的には、AUによってセキュリティポリシーを実行する実装形態に従って決定されることがある。詳細については、前述の適用シナリオにおいて説明される実装形態を参照されたい。詳細は本明細書では再び説明されない。
1109.AUがアタッチ応答をANに送信する。
アタッチ応答は第1のセキュリティ構成を含み得る。
1110.スライスのセキュリティポリシーを実行する。
任意選択で、ANは、第1のセキュリティ構成およびUEがアタッチされるべきスライスのセキュリティポリシーなどの情報に基づいて、第2のセキュリティ構成を決定する。AUによって生成される第1のセキュリティ構成が、鍵、暗号化アルゴリズム、および完全性保護アルゴリズムなどの情報を含む場合、このステップは省略され得る。AUによって生成される第1のセキュリティ構成が鍵のみを含む場合、ANはさらに、鍵、暗号化アルゴリズム、および完全性保護アルゴリズムなどの情報を含む第2のセキュリティ構成を決定するために、暗号化アルゴリズムおよび完全性保護アルゴリズムなどの情報を選択し得る。
1111.ANがアタッチ応答をUEに送信する。
特定の実装形態では、前述のステップの実装形態について、図10A、図10B、および図10Cにおいて示される適用シナリオの実施形態のステップにおいて説明される実装形態を参照されたい。詳細は本明細書では再び説明されない。
いくつかの実現可能な実装形態において、図12は、本発明の実施形態による、管理システムによってサイバーセキュリティ管理を実行する別の概略対話図である。図12に示されるシステム構造は、UE、AN、ネットワーク機能選択モジュール、および認証モジュールを含む。SSFおよびMMが説明のためにネットワーク機能選択モジュールの例として使用され、SSFとMMの両方がAURFおよびAUSFの機能を提供し得る。AUが説明のために認証モジュールの例として使用され、アタッチ要求が説明のために第1のサービス要求と第2のサービス要求の両方の例として使用される。図12では、本発明のこの実施形態において提供される管理システムはさらに、5GネットワークアーキテクチャにおいてSM、GW−U、および契約データベースと対話し得る。
この実施形態では、UEは、スライスにアタッチされており、新しいサービス要求を使用することによって別のスライスへアタッチされるように要求し、UEは、アタッチ手順において認証を1回実行することになる。AU選択がSSFにおいて実行される。SSFが、AUSFおよびAURFの機能を提供する。
図12に示される管理システムにおいて提供されるサイバーセキュリティ管理を実行する処理は、以下のステップを含む。
1201.UEが新しいサービス要求をANに送信し、要求はUEの認証プロトコル情報を含む。
1202.ネットワークが、以下のステップを含めて、スライス選択およびAU選択を実行する。
2a.ANが新しいサービス要求をMMに送信し、新しいサービス要求は認証プロトコル情報を搬送する。
2b.MMが新しいサービス要求をSSFに送信し、新しいサービス要求は認証プロトコル情報を搬送する。
2c.SSFがスライスを選択し、認証プロトコル情報に基づいてAUを選択する。
SSFによってスライスを選択する処理については、既存の5Gアーキテクチャのシステムにおいて提供される実装形態を参照されたい。これは本明細書では限定されない。SSFは、標的AUを使用することによってUEを別のスライスにアタッチする動作を実施するために、選択されたスライスおよび新しいサービス要求において搬送される認証プロトコル情報に基づいて標的AUを選択し得る。
2d.SSFが新しいサービス要求をAUに送信する。
新しいサービス要求はスライスのIDおよび認証プロトコル情報を搬送する。
1203.(任意選択)AUが選択された認証プロトコルの識別子をUEに通知する。
1204.UEが認証プロトコルを使用することによってAUとの相互認証を実行し、UEがスライスにアタッチされることをAUが認可する。
1205.MMが新しいサービス要求をSMに送信する。
1206.UP接続を設定する。
1207.MMが新しいサービス応答をUEに送信する。
特定の実装形態では、前述のステップの実装形態について、前述の適用シナリオの実施形態のステップにおいて説明される実装形態を参照されたい。詳細は本明細書では再び説明されない。
いくつかの実現可能な実装形態において、図13は、本発明の実施形態による、管理システムによってサイバーセキュリティ管理を実行する別の概略対話図である。図13に示されるシステム構造は、UE、AN、および認証モジュールを含む。説明のために、ネットワーク機能選択モジュールによって実行される実装形態はANによって実行され、ANはAURFおよびAUSFの機能を提供し得る。フロントエンドが説明のために認証モジュールの例として使用され、フロントエンドはAUの機能を提供し得る。アタッチ要求が説明のために第1のサービス要求と第2のサービス要求の両方の例として使用される。
この実施形態では、フロントエンドと名付けられたネットワーク要素がAUの機能を提供し、UEに割り振られたフロントエンドは、スライスに専用のネットワーク要素へUEのすべての制御プレーン(Control Plane,CP)シグナリングを転送することを担う。UEは、アタッチ手順においてフロントエンドと1回認証を実行することになる。フロントエンド選択はRANにおいて実行される。RANが、AUSFおよびAURFの機能を提供する。
図13に示される管理システムにおいて提供されるサイバーセキュリティ管理を実行する処理は、以下のステップを含む。
1301.UEがアタッチ要求をRANに送信する。
アタッチ要求は、UEの認証プロトコル情報、UEの識別子、スライス情報、およびUEのセキュリティ能力などの情報を含む。
1302.RANがアタッチ要求の中の認証プロトコル情報に基づいてデフォルトのフロントエンドを選択する。
1303.RANがUEのアタッチ要求を選択されたデフォルトのフロントエンドに送信し、要求は認証プロトコル情報を含む。
1304.UEが認証プロトコルを使用することによってデフォルトのフロントエンドとの相互認証を実行する。
1305.デフォルトのフロントエンドが、UEの契約情報を確認し、フロントエンドを選択する。
1306.デフォルトのフロントエンドがアタッチ要求を選択されたフロントエンドに転送する。
1307.選択されたフロントエンドがアタッチ受け入れメッセージをデフォルトのフロントエンドに送信する。
1308.デフォルトのフロントエンドがアタッチ受け入れメッセージをRANに送信する。
1309.RANがスライスのセキュリティポリシーを実行する。
特定の実装形態では、任意選択で、RANは、UEがアタッチされるべきスライスのセキュリティポリシーに従ってセキュリティ構成を生成し、セキュリティ構成は、第1の鍵、第2の鍵、暗号化アルゴリズム、完全性保護アルゴリズムなどを含む。
1310.RANがアタッチ受け入れメッセージをUEに送信する。
特定の実装形態では、前述のステップの実装形態について、前述の適用シナリオの実施形態のステップにおいて説明される実装形態を参照されたい。詳細は本明細書では再び説明されない。
いくつかの実現可能な実装形態において、図14は、本発明の実施形態による、管理システムによってサイバーセキュリティ管理を実行する別の概略対話図である。図14に示されるシステム構造は、UE、次世代アクセスネットワーク、および認証モジュールを含む。説明のために、ANおよびネットワーク機能選択モジュールによって実行される実装形態は次世代アクセスネットワークによって実行され、次世代アクセスネットワークはAURFおよびAUSFの機能を提供し得る。ACAが説明のために認証モジュールの例として使用され、ACAはAUの機能を提供し得る。アタッチ要求が説明のために第1のサービス要求と第2のサービス要求の両方の例として使用される。図14では、本発明のこの実施形態において提供される管理システムはさらに、5GネットワークアーキテクチャにおいてHSSと対話し得る。
この実施形態では、ACAと名付けられたネットワーク要素がAUの機能を提供し、ACAはスライス選択機能も提供する。UEは、アタッチ手順においてACAと1回認証を実行することになる。ACA選択は次世代アクセスネットワーク(すなわち、次世代RAN)において実行される。次世代アクセスネットワークが、AUSFおよびAURFの機能を提供する。
図14に示される管理システムにおいて提供されるサイバーセキュリティ管理を実行する処理は、以下のステップを含む。
1401.UEが次世代アクセスネットワークへの接続を確立する。
1402.UEがアタッチ要求を次世代アクセスネットワークに送信し、要求は認証プロトコル情報を含む。
1403.次世代アクセスネットワークがアタッチ要求の中の認証プロトコル情報に基づいてACAを選択する。
1404.次世代アクセスネットワークがUEのアタッチ要求を選択されたACAに送信し、要求は認証プロトコル情報を含む。
1405.(任意選択)ACAが認証プロトコルの識別子をUEに送信する。
1406.UEが認証プロトコルを使用することによってACAとの相互認証を実行する。
1407.ACAがUEの場所情報をHSSに対して更新する。
1408.ACAがスライスのセキュリティポリシーを実行する。
具体的には、ACAは、UEがアタッチされるべきスライスのセキュリティポリシーに従って鍵を生成し、UEのセキュリティ能力およびスライスのセキュリティポリシーなどの情報に基づいて暗号化アルゴリズムおよび完全性保護アルゴリズムをさらに選択し、暗号化アルゴリズムの識別子および完全性保護アルゴリズムの識別子などの情報を第1のセキュリティ構成に追加し得る。
1409.ACAがアタッチ応答メッセージを次世代アクセスネットワークに送信する。
1410.次世代アクセスネットワークがスライスのセキュリティポリシーを実行する。
特定の実装形態では、任意選択で、次世代アクセスネットワークは、UEがアタッチされるべきスライスのセキュリティポリシーおよびUEのセキュリティ能力などの情報に基づいて、暗号化アルゴリズムおよび完全性保護アルゴリズムを選択し、第1のセキュリティ構成を参照して第2のセキュリティ構成を決定し得る。
1411.次世代アクセスネットワークがアタッチ応答メッセージをUEに送信する。
アタッチ応答メッセージは第2のセキュリティ構成を搬送し得る。
特定の実装形態では、前述のステップの実装形態について、前述の適用シナリオの実施形態のステップにおいて説明される実装形態を参照されたい。詳細は本明細書では再び説明されない。
図15は、本発明の実施形態による、サイバーセキュリティ管理システムの別の概略構造図である。本発明のこの実施形態において提供される管理システムは、UEと、ネットワーク機能選択モジュールと、少なくとも2つの認証モジュールとを含み得る。少なくとも2つの認証モジュールは、複数のスライスによって共有される認証モジュールを含み、単一のスライスに専用の認証モジュールも含む。あるいは、少なくとも2つの認証モジュールの各々が、複数のスライスによって共有される認証モジュールであることがあり、または、単一のスライスに専用の認証モジュールであることがある。詳細は、実際の適用シナリオに基づいて決定されることがあり、本明細書では限定されない。複数の共有される認証モジュールがあることがあり、各々の共有される認証モジュールが少なくとも2つのスライスにサービスする。複数の専用の認証モジュールがあることもあり、各々の専用の認証モジュールが1つのスライスにサービスする。特定の実装形態では、認証モジュールの量および認証モジュールによってサービスされるスライスの分布状態が、実際の適用シナリオに基づいて決定されることがあり、これは本明細書では限定されない。
本発明のこの実施形態では、ネットワーク機能選択モジュールは、AUSF、AURF、SSF、MMなどを含むことがあり、具体的には実際の適用シナリオに基づいて決定されることがあり、これは本明細書では限定されない。
本発明のこの実施形態では、認証モジュールは、AU、フロントエンド、ACAなどを含むことがあり、具体的には実際の適用シナリオに基づいて決定されることがあり、これは本明細書では限定されない。
図16は、本発明の実施形態による、管理システムの中の機能モジュール(UE、AN、ネットワーク機能選択モジュール、および認証モジュールを含む)によってサイバーセキュリティ管理を実施する概略対話図である。図15に示されるシステムがサイバーセキュリティ管理を実施する処理は、以下のステップを含み得る。
1601.UEが第1のサービス要求をネットワーク機能選択モジュールに送信し、第1のサービス要求は認証プロトコル情報を搬送する。
1602.ネットワーク機能選択モジュールは、認証プロトコル情報に基づいて、少なくとも2つの認証モジュールから標的認証モジュールを選択する。
1603.ネットワーク機能選択モジュールが、第2のサービス要求を標的認証モジュールに送信する。
1604.標的認証モジュールが、第2のサービス要求を受信し、UEとの相互認証を実行する。
いくつかの実現可能な実装形態において、第1のサービス要求は具体的には、スライスにアタッチされるようにUEが要求するアタッチ要求であり得る。あるいは、第1のサービス要求は、UEがスライスにアタッチされていて、新しいサービス要求を使用することによって別のスライスにアタッチされることを期待するときにUEによって送信される新しいサービス要求であり得る。アタッチ要求または新しいサービス要求は認証プロトコル情報を搬送する。認証プロトコル情報は、UEによってサポートされる1つまたは複数の認証プロトコルの識別子、またはUEによってサポートされる複数の認証プロトコルの各々の選択優先順位などの情報を含む。アタッチ要求または新しいサービス要求はまた、UEがアタッチされるべきスライスの識別子などを搬送し得る。第1のサービス要求のタイプおよび第1のサービス要求において搬送される認証プロトコル情報は特に、実際の適用シナリオに基づいて決定されることがあり、本明細書では限定されない。
いくつかの実現可能な実装形態において、UEによって送信される第1のサービス要求を受信した後で、ネットワーク機能選択モジュールは、第1のサービス要求において搬送される認証プロトコル情報に基づいて少なくとも2つの認証モジュールから標的認証モジュールを選択し得る。特定の実装形態では、認証プロトコル情報がUEによってサポートされる1つの認証プロトコル(たとえば、第1の認証プロトコル)の識別子を搬送する場合、ネットワーク機能選択モジュールは、第1の認証プロトコルの識別子に基づいて、第1の認証プロトコルをサポートする認証モジュールを、複数の認証モジュールから標的認証モジュールとして選択し得る。1つより多くの認証モジュールが第1の認証プロトコルをサポートする場合、ネットワーク機能選択モジュールは、各認証モジュールの負荷状態に基づいて、最も負荷の小さい認証モジュールを認証モジュールから標的認証モジュールとして選択し得る。
さらに、第1のサービス要求が、UEがアタッチされるべきスライス(すなわち、指定されるネットワークスライス)の識別子を搬送する場合、ネットワーク機能選択モジュールは、第1の認証プロトコルの識別子および指定されたネットワークスライスの識別子に基づいて、ネットワークに含まれる少なくとも2つの認証モジュールから標的認証モジュールを選択し得る。標的認証モジュールは、第1の認証プロトコルおよび指定されたネットワークスライスをサポートする認証モジュールである。具体的には、ネットワーク機能選択モジュールはまず、第1の認証プロトコルの識別子に基づいて、複数の認証モジュールから第1の認証プロトコルをサポートする認証モジュールを選択し得る。1つより多くの認証モジュールが第1の認証プロトコルをサポートする場合、ネットワーク機能選択モジュールは、指定されたネットワークスライスの識別子に基づいて、UEがアタッチされるべきスライスと関連付けられる認証モジュールを、第1の認証プロトコルをサポートする複数の認証モジュールから標的認証モジュールとして選択し得る。UEがアタッチされるべきスライスと関連付けられる認証モジュールは、そのスライスにサービスする認証モジュールであり得る。加えて、あるいは、ネットワーク機能選択モジュールはまず、指定されたネットワークスライスの識別子に基づいて、複数の認証モジュールから指定されたネットワークスライスをサポートする認証モジュールを選択し得る。1つより多くの認証モジュールが指定されたネットワークスライスをサポートする場合、ネットワーク機能選択モジュールは、第1の認証プロトコルに従って、第1の認証プロトコルをサポートする認証モジュールを、指定されたネットワークスライスをサポートする複数の認証モジュールから標的認証モジュールとして選択し得る。さらに、あるいは、ネットワーク機能選択モジュールは、第1の認証プロトコルの識別子および指定されたネットワークスライスの識別子に基づいて、複数の認証モジュールから同時に標的認証モジュールを選択し得る。特定の選択処理における認証モジュール選別方式は、実際の適用シナリオに基づいて決定されることがあり、本明細書では限定されない。
さらに、いくつかの実現可能な実装形態において、1つより多くの標的認証モジュールは、第1の認証プロトコルの識別子に基づいて、または第1の認証プロトコルの識別子および指定されたネットワークスライスの識別子に基づいて選択され、ネットワーク機能選択モジュールは、各々の選択された被選択候補の標的認証モジュールの負荷状態に基づいて最終的に選択される標的認証モジュールとして、複数の選択された被選択候補の標的認証モジュールから最も負荷の小さい認証モジュールを選択し得る。
いくつかの実現可能な実装形態において、認証プロトコル情報がUEによってサポートされる複数の認証プロトコル(各認証プロトコルはたとえば、第2の認証プロトコルである)の識別子を搬送する場合、ネットワーク機能選択モジュールは、UEによってサポートされる第2の認証プロトコルの識別子に基づいて、標的認証モジュールをネットワークに含まれる複数の認証モジュールから選択し得る。特定の実装形態では、システムに含まれる複数の認証モジュールのうちの1つだけがUEによってサポートされる認証プロトコルをサポートする場合、その認証モジュールが標的認証モジュールとして決定され得る。ネットワークに含まれる複数の認証モジュールがUEによってサポートされる認証プロトコルのうちの1つをサポートする複数の認証モジュールを含む場合、最も負荷の小さい認証モジュールが、認証プロトコルをサポートする複数の認証モジュールから標的認証モジュールとして選択され得る。ネットワークに含まれる複数の認証モジュールが異なる認証プロトコルをサポートする複数の異なる認証モジュールを含む場合、ネットワーク機能選択モジュールは、各認証プロトコルの選択優先順位または各認証モジュールの負荷状態に基づいて、複数の異なる認証モジュールから標的認証モジュールを選択する。
いくつかの実現可能な実装形態において、ネットワークに含まれる複数の認証モジュールが異なる認証プロトコルをサポートする複数の異なる認証モジュールを含む場合、ネットワーク機能選択モジュールは、ネットワークにおいて設定される認証プロトコル選択優先順位に基づいて、UEによってサポートされる複数の認証プロトコルから最も高い選択優先順位を有する認証プロトコルを決定することがあり、次いで、最も高い選択優先順位を有する認証プロトコルをサポートする被選択候補の認証モジュールを、異なる認証プロトコルをサポートする複数の異なる認証モジュールから標的認証モジュールとして選択することがある。1つより多くの被選択候補の認証モジュールが最高の選択優先順位を有する認証プロトコルをサポートする場合、各々の被選択候補の認証モジュールの負荷状態に基づいて、最も負荷の小さい認証モジュールが、認証モジュールから標的認証モジュールとして選択され得る。
いくつかの実現可能な実装形態において、ネットワークに含まれる複数の認証モジュールが異なる認証プロトコルをサポートする複数の異なる認証モジュールを含む場合、ネットワーク機能選択モジュールは直接、各認証モジュールの負荷状態に基づいて、最も負荷の小さい認証モジュールを認証モジュールから標的認証モジュールとして選択し得る。
さらに、いくつかの実現可能な実装形態において、第1のサービス要求において搬送される認証プロトコル情報は、UEによってサポートされる複数の認証プロトコルの識別子(各認証プロトコルはたとえば、第3の認証プロトコルであり得る)および各々の第3の認証プロトコルの選択優先順位を含み得る。ネットワーク機能選択モジュールは、UEによってサポートされる第3の認証プロトコルの識別子に基づいて、システムに含まれる複数の認証モジュールから標的認証モジュールを選択し得る。特定の実装形態では、システムに含まれる複数の認証モジュールのうちの1つだけがUEによってサポートされる認証プロトコルをサポートする場合、その認証モジュールが標的認証モジュールとして決定され得る。システムに含まれる複数の認証モジュールがUEによってサポートされる第3の認証プロトコルのうちの1つをサポートする複数の認証モジュールを含む場合、最も負荷の小さい認証モジュールが、第3の認証プロトコルをサポートする複数の認証モジュールから標的認証モジュールとして選択され得る。システムに含まれる複数の認証モジュールが異なる第3の認証プロトコルをサポートする複数の異なる認証モジュールを含む場合、ネットワーク機能選択モジュールは、各認証モジュールの負荷状態に基づいて、最も負荷の小さい認証モジュールを認証モジュールから標的認証モジュールとして選択し得る。
さらに、システムに含まれる複数の認証モジュールが異なる第3の認証プロトコルをサポートする複数の異なる認証モジュールを含む場合、ネットワーク機能選択モジュールはさらに、各々の第3の認証プロトコルの選択優先順位に基づいて、最高の選択優先順位を有する認証プロトコル(たとえば、第4の認証プロトコル)をサポートする認証モジュールを、異なる第3の認証プロトコルをサポートする複数の異なる認証モジュールから標的認証モジュールとして選択し得る。1つより多くの認証モジュールが第4の認証プロトコルをサポートする場合、ネットワーク機能選択モジュールは、各認証モジュールの負荷状態に基づいて、最も負荷の小さい認証モジュールを認証モジュールから標的認証モジュールとして選択し得る。
さらに、いくつかの実現可能な実装形態において、第1のサービス要求は、UEがアタッチされるべきスライスの識別子に加えて、より多くのスライス情報を搬送することがあり、スライス情報は特に、スライスタイプ、スライスによってサポートされるサービスタイプ、スライステナント識別子などを含み得る。認証プロトコル情報に基づいて標的認証モジュールを選択する処理において、ネットワーク機能選択モジュールはまた、スライス情報に関する網羅的な選択を実行することがあり、これは本明細書では限定されない。
いくつかの実現可能な実装形態において、標的認証モジュールを選択した後で、ネットワーク機能選択モジュールは、第2のサービス要求を標的認証モジュールに送信し得る。それに対応して、第2のサービス要求はまた、アタッチ要求または新しいサービス要求であり得る。特定の実装形態では、標的認証モジュールが1つだけの認証プロトコルをサポートする場合、標的認証モジュールに送信される第2のサービス要求は、認証プロトコル情報を搬送する必要がなく、UEの識別子、UEがアタッチされるべきスライスについての情報などを搬送することがある。標的認証モジュールが複数の認証プロトコルをサポートし得る場合、第2のサービス要求は、UEと標的認証モジュールの両方によってサポートされる認証プロトコルのものであり標的認証モジュールの選択の間に使用される識別子を搬送し得る。任意選択で、第2のサービス要求は、UEの識別子、UEがアタッチされるべきスライスについての情報などを搬送することがあり、これは本明細書では限定されない。
いくつかの実現可能な実装形態において、標的認証モジュールが1つだけの認証プロトコルをサポートする場合、標的認証モジュールは、認証プロトコルを使用することによってUEと相互認証を直接実行し得る。標的認証モジュールが複数の認証プロトコルをサポートし得る場合、標的認証モジュールは、ネットワーク機能選択モジュールによって送信される第2のサービス要求を受信し、UEと標的認証モジュールの両方によってサポートされ第2のサービス要求において搬送される認証プロトコルに従って、UEとの相互認証を実行し得る。特定の実装形態では、第2のサービス要求はさらに、UEの識別子、たとえばUEのIDを搬送することがあり、これは本明細書では限定されない。UEのIDまたはスライス情報を使用することによってUEとの相互認証を認証モジュールが実施する実装形態については、5Gフレームワークにおけるシステム対話の既存の実装形態を参照されたい。詳細は本明細書では説明されない。
特定の実装形態では、本発明のこの実施形態において提供される管理システムが様々な適用シナリオにおいて認証モジュール選択を実施する実装形態については、図5から図7の実施形態のステップにおいて説明された実装形態を参照されたい。詳細は本明細書では再び説明されない。
本発明のこの実施形態では、ネットワーク機能選択モジュールが、UEによってサポートされる認証プロトコルについての情報に基づいて、UEによってサポートされる認証プロトコルをサポートする認証モジュールを選択することがあり、次いで、認証モジュールが、UEとの相互認証を実行することがあり、これにより、認証モジュール選択精度およびサイバーセキュリティを改善する。
図17は、本発明の実施形態による、サイバーセキュリティ管理システムの別の概略構造図である。本発明のこの実施形態において提供される管理システムは、UEと、ANと、セキュリティポリシーコントローラと、認証モジュールとを含み得る。認証モジュールは、複数のスライスによって共有される認証モジュールを含み、単一のスライスに専用の認証モジュールも含む。複数の共有される認証モジュールがあることがあり、各々の共有される認証モジュールが少なくとも2つのスライスにサービスする。複数の専用の認証モジュールがあることもあり、各々の専用の認証モジュールが1つのスライスにサービスする。特定の実装形態では、認証モジュールの量および認証モジュールによってサービスされるスライスの分布状態が、実際の適用シナリオに基づいて決定されることがあり、これは本明細書では限定されない。
本発明のこの実施形態では、認証モジュールは、AU、フロントエンド、ACAなどを含むことがあり、具体的には実際の適用シナリオに基づいて決定されることがあり、これは本明細書では限定されない。
図18は、本発明の実施形態による、管理システムの中の機能モジュール(UE、AN、セキュリティポリシーコントローラ、および認証モジュールを含む)によってサイバーセキュリティ管理を実施する別の概略対話図である。図17に示されるシステムがサイバーセキュリティ管理におけるセキュリティ構成管理を実施する処理は、以下のステップを含み得る。
1801.セキュリティポリシーコントローラが、ネットワークスライスセキュリティポリシーをANまたは認証モジュールに配信する。
1802.UEが第1のサービス要求をANに送信し、第1のサービス要求はUEがアタッチされるべき指定されたネットワークスライスの識別子を搬送する。
1803.ANが第2のサービス要求を認証モジュールに送信し、第2のサービス要求はUEがアタッチされるべき指定されたネットワークスライスの識別子を搬送する。
1804.認証モジュールが、第2のサービス要求を受信し、UEとの相互認証を実行する。
1805.認証モジュールが、指定されるネットワークスライスの指定されたセキュリティポリシーに従って、第1のセキュリティ構成を決定する。
1806.認証モジュールがANに第2のサービス要求応答を送信し、第2のサービス要求応答が第1のセキュリティ構成を搬送する。
1807.ANが第1のセキュリティ構成または指定されたセキュリティポリシーに基づいて第2のセキュリティ構成を決定する。
1808.ANが第1のサービス要求応答をUEに送信し、第1のサービス要求応答が第2のセキュリティ構成を搬送する。
いくつかの実現可能な実装形態において、本発明のこの実施形態において提供されるセキュリティポリシーコントローラは、システムに含まれる各ネットワークスライスのセキュリティポリシーを認証モジュールまたはANに配信するように構成される。特定の実装形態では、本発明のこの実施形態において提供される管理システムにおいて、UEがアタッチされるべきスライスのセキュリティポリシーは標的認証モジュール(図17に示される認証モジュール)によって実行されることがあり、または、UEがアタッチされるべきスライスのセキュリティポリシーは標的認証モジュールおよびANによって共同で実行されることがある。特定の実装形態では、ネットワークスライスセキュリティポリシーは、UEとANとの間のシグナリングに対する鍵の長さを指定することがあり、暗号化アルゴリズム選択優先順位、完全性保護アルゴリズム選択優先順位、および鍵の使用範囲などの情報をさらに指定することがある。鍵の使用範囲は、鍵の使用時間長、鍵を使用することによって暗号化され得るデータパケットの量などを含み得る。
いくつかの実現可能な実装形態において、UEがアタッチされるべきスライスのセキュリティポリシーが標的認証モジュールによって実行される場合、セキュリティポリシーコントローラは、システムの中の1つまたは複数のネットワークスライスのセキュリティポリシーを標的認証モジュールに送信し得る。1つまたは複数のネットワークスライスは、標的認証モジュールによってサービスされるネットワークスライスのうちの1つまたは複数であることがあり、実際の適用シナリオに基づいて特に決定されることがある。これは本明細書では限定されない。
特定の実装形態では、UEは第1のサービス要求をANに送信し得る。第1のサービス要求は、UEのセキュリティ能力と、UEがアタッチされるべき指定されたネットワークスライスの識別子とを搬送する。第1のサービス要求を受信した後で、ANは第2のサービス要求を認証モジュールに送信し得る。第2のサービス要求は、UEのセキュリティ能力と、UEがアタッチされるべき指定されたネットワークスライスの識別子とを搬送する。第2のサービス要求を受信した後で、認証モジュールは、UEとの相互認証を実行することがあり、次いで、UEがアタッチされるべきスライスのセキュリティポリシーを実行することがある。
いくつかの実現可能な実装形態において、標的認証モジュールは、第2のサービス要求において搬送されるUEのセキュリティ能力を使用することによって、UEによってサポートされる暗号化アルゴリズムおよび完全性保護アルゴリズムなどの情報を決定し得る。あるいは、標的認証モジュールは、ネットワークを使用することによって、UEのセキュリティ能力、具体的には、UEによってサポートされる暗号化アルゴリズムおよび完全性保護アルゴリズムなどの情報を取得し得る。標的認証モジュールはさらに、ANのセキュリティ能力、具体的には、ANによってサポートされる暗号化アルゴリズム、完全性保護アルゴリズムなどを取得し得る。ANのセキュリティ能力は、ANによって標的認証モジュールに送信され得る。たとえば、ANは、ANのセキュリティ能力を第2のサービス要求に追加し、第2のサービス要求を標的認証モジュールに送信し得る。特定の実装形態では、標的認証モジュールは、UEがアタッチされるべき指定されたネットワークスライスのセキュリティポリシー(すなわち、指定されたセキュリティポリシー)に従って鍵を生成することがあり、UEのセキュリティ能力、ANのセキュリティ能力、および指定されたセキュリティポリシーに基づいて、暗号化アルゴリズムおよび完全性保護アルゴリズムをさらに選択することがある。鍵は、少なくとも2つの鍵、たとえば第1の鍵および第2の鍵を含み得る。第1の鍵は、UEとANとの間のシグナリングを保護するために使用される鍵であることがあり、第2の鍵は、UEとAUとの間のシグナリングを保護するために使用される鍵であることがある。第1の鍵の長さおよび第2の鍵の長さは、指定されたセキュリティポリシーにおいて指定される鍵長と矛盾しない。暗号化アルゴリズムは、UEとANの両方によってサポートされる暗号化アルゴリズムの中で最高の選択優先順位を有する暗号化アルゴリズムであることがあり、完全性保護アルゴリズムは、UEとANの両方によってサポートされる完全性保護アルゴリズムの中で最高の選択優先順位を有する完全性保護アルゴリズムであることがある。
いくつかの実現可能な実装形態において、第1の鍵および第2の鍵を生成して標的暗号化アルゴリズムおよび標的完全性保護アルゴリズムを選択した後で、標的認証モジュールは、第2のサービス要求応答を使用することによって第1のセキュリティ構成情報をANに送信するために、第1の鍵、標的暗号化アルゴリズムの識別子、および標的完全性保護アルゴリズムの識別子に基づいて第1のセキュリティ構成を生成し、第1のセキュリティ構成を第2のサービス要求応答に追加し得る。第1のセキュリティ構成情報は、第1の鍵の使用範囲、標的暗号化アルゴリズムの識別子、および標的完全性保護アルゴリズムの識別子などの情報を含み得る。
いくつかの実現可能な実装形態において、標的認証モジュールによって送信される第2のサービス要求応答を受信した後で、ANは、第2のサービス要求応答において搬送される第1の構成情報に基づいて、鍵、および暗号化アルゴリズムの識別子または完全性保護アルゴリズムの識別子などの情報を決定し得る。第1のセキュリティ構成が、第1の鍵、暗号化アルゴリズムの識別子、および完全性保護アルゴリズムの識別子などの情報を搬送する場合、ANは、セキュリティポリシーを実行する必要はなく、鍵を直接記憶し、第1のセキュリティ構成において搬送される暗号化アルゴリズムの識別子および完全性保護アルゴリズムの識別子を第2のセキュリティ構成として決定し、第2のセキュリティ構成を第1のサービス要求応答に追加し、次いで、第2のセキュリティ構成をUEに通知するために第1のサービス要求応答をUEに送信し得る。
いくつかの実現可能な実装形態において、UEがアタッチされるべきスライスのセキュリティポリシーが標的認証モジュールおよびANによって共同で実行される場合、セキュリティポリシーコントローラは、標的認証モジュールによってサポートされる1つまたは複数のネットワークスライスのセキュリティポリシーを標的認証モジュールに送信することがあり、セキュリティポリシーコントローラはさらに、システムの中の各ネットワークスライスのセキュリティポリシーをANに送信することがある。標的認証モジュールは、第2のサービス要求において搬送されるUEのセキュリティ能力を使用することによって、UEによってサポートされる暗号化アルゴリズムおよび完全性保護アルゴリズムなどの情報を決定することがあり、UEのセキュリティ能力をANにさらに送信することがある。あるいは、標的認証モジュールおよびANは、ネットワークを使用することによって、UEのセキュリティ能力、具体的には、UEによってサポートされる暗号化アルゴリズムおよび完全性保護アルゴリズムなどの情報を取得し得る。特定の実装形態では、標的認証モジュールは、少なくとも2つの鍵、たとえば、指定されたセキュリティポリシーに従って第1の鍵および第2の鍵を生成し得る。さらに、標的認証モジュールは、第1の鍵の使用範囲および指定されたネットワークスライスの識別子などの情報に基づいて第1の構成を生成し、第1の構成を第2のサービス要求応答に追加し得る。
いくつかの実現可能な実装形態において、標的認証モジュールによって送信される第2のサービス要求応答を受信した後で、ANは、第2のサービス要求応答において搬送される第1の構成情報に基づいて、鍵、および暗号化アルゴリズムの識別子または完全性保護アルゴリズムの識別子などの情報を決定し得る。第1のセキュリティ構成が第1の鍵についての情報だけを搬送する場合、ANはセキュリティポリシーを実行する必要がある。具体的には、ANは、指定されたネットワークスライスの識別子に基づいて、指定されたネットワークスライスの識別子に対応する指定されたセキュリティポリシーを決定し、次いで、UEのセキュリティ能力および指定されたセキュリティポリシーに基づいて標的暗号化アルゴリズムおよび標的完全性保護アルゴリズムを選択し得る。さらに、ANは、標的暗号化アルゴリズムの識別子および標的完全性保護アルゴリズムの識別子を第1のセキュリティ構成に追加して、第2のセキュリティ構成を取得し、第2のセキュリティ構成を第1のサービス要求応答に追加し、第2のセキュリティ構成をUEに通知するために第1のサービス要求応答をUEに送信し得る。
特定の実装形態では、様々なモジュールが本発明のこの実施形態において提供される管理システムの様々な適用シナリオでセキュリティポリシーを実行する具体的な実装形態処理については、図8および図9に対応する実施形態のステップにおいて説明された実装形態を参照されたい。詳細は本明細書では再び説明されない。
本発明のこの実施形態では、認証プロトコルに従って選択された標的認証モジュールがセキュリティ構成を生成することがあり、または、認証プロトコルおよびANに従って選択された標的認証モジュールがセキュリティ構成を生成することがあるので、選択柔軟性が高く、サイバーセキュリティが改善される。
図19は、本発明の実施形態による、サイバーセキュリティ管理方法の概略フローチャートである。本発明のこの実施形態において提供される管理方法は以下のステップを含み得る。
S1901.ネットワーク機能選択モジュールが、ユーザ機器UEによって送信される第1のサービス要求を受信する。
第1のサービス要求が認証プロトコル情報を搬送する。
S1902.ネットワーク機能選択モジュールが、認証プロトコル情報に基づいて、ネットワークに含まれる少なくとも2つの認証モジュールから標的認証モジュールを選択する。
S1903.ネットワーク機能選択モジュールが、第2のサービス要求を標的認証モジュールに送信する。
いくつかの実現可能な実装形態において、認証プロトコル情報は、UEによって選択される第1の認証プロトコルの識別子を含み、
ネットワーク機能選択モジュールが、認証プロトコル情報に基づいて、ネットワークに含まれる少なくとも2つの認証モジュールから標的認証モジュールを選択することは、
ネットワーク機能選択モジュールによって、第1の認証プロトコルの識別子に基づいて、少なくとも2つの認証モジュールから第1の認証プロトコルをサポートする標的認証モジュールを選択することを含む。
いくつかの実現可能な実装形態において、1つより多くの認証モジュールが第1の認証プロトコルをサポートする場合、方法は、
第1の認証プロトコルをサポートする各認証モジュールの負荷状態に基づいて、最も負荷の小さい認証モジュールを認証モジュールから標的認証モジュールとして選択するステップをさらに含む。
いくつかの実現可能な実装形態において、認証プロトコル情報は、UEによって選択される第1の認証プロトコルの識別子を含み、
第1のサービス要求はさらに、指定されたネットワークスライスの識別子を搬送し、
ネットワーク機能選択モジュールが、認証プロトコル情報に基づいて、ネットワークに含まれる少なくとも2つの認証モジュールから標的認証モジュールを選択することは、
ネットワーク機能選択モジュールによって、第1の認証プロトコルの識別子および指定されたネットワークスライスの識別子に基づいて、少なくとも2つの認証モジュールから第1の認証プロトコルおよび指定されたネットワークスライスをサポートする標的認証モジュールを選択することを含む。
いくつかの実現可能な実装形態において、1つより多くの認証モジュールが第1の認証プロトコルおよび指定されたネットワークスライスをサポートする場合、方法は、
第1の認証プロトコルおよび指定されたネットワークスライスをサポートする各認証モジュールの負荷状態に基づいて、最も負荷の小さい認証モジュールを認証モジュールから標的認証モジュールとして選択するステップをさらに含む。
いくつかの実現可能な実装形態において、認証プロトコル情報は、UEによってサポートされる少なくとも2つの第2の認証プロトコルの識別子を含み、
ネットワーク機能選択モジュールが、認証プロトコル情報に基づいて、ネットワークに含まれる少なくとも2つの認証モジュールから標的認証モジュールを選択することは、
ネットワーク機能選択モジュールによって、第2の認証プロトコルの識別子に基づいて、少なくとも2つの認証モジュールから第2の認証プロトコルのうちの少なくとも1つをサポートする被選択候補の認証モジュールを、標的認証モジュールとして選択することを含む。
いくつかの実現可能な実装形態において、認証プロトコル情報は、UEによってサポートされる少なくとも2つの第2の認証プロトコルの識別子を含み、
第1のサービス要求はさらに、指定されたネットワークスライスの識別子を搬送し、
ネットワーク機能選択モジュールが、認証プロトコル情報に基づいて、ネットワークに含まれる少なくとも2つの認証モジュールから標的認証モジュールを選択することは、
ネットワーク機能選択モジュールによって、第2の認証プロトコルの識別子に基づいて、少なくとも2つの認証モジュールから第2の認証プロトコルのうちの少なくとも1つをサポートし指定されたネットワークスライスをサポートする被選択候補の認証モジュールを、標的認証モジュールとして選択することを含む。
いくつかの実現可能な実装形態において、認証プロトコル情報は、UEによってサポートされる少なくとも2つの第2の認証プロトコルの識別子を含み、
ネットワーク機能選択モジュールが、認証プロトコル情報に基づいて、ネットワークに含まれる少なくとも2つの認証モジュールから標的認証モジュールを選択することは、
ネットワーク機能選択モジュールによって、ネットワークにおいて設定される認証プロトコル選択優先順位に基づいて、UEによってサポートされる第2の認証プロトコルから最高の選択優先順位を有する認証プロトコルを決定し、最高の選択優先順位を有する認証プロトコルをサポートする被選択候補の認証モジュールを少なくとも2つの認証モジュールから標的認証モジュールとして選択することを含む。
いくつかの実現可能な実装形態において、1つより多くの被選択候補の認証モジュールがある場合、方法は、
1つより多くの被選択候補の認証モジュールの各々の負荷状態に基づいて、最も負荷の小さい認証モジュールを認証モジュールから標的認証モジュールとして選択するステップをさらに含む。
いくつかの実現可能な実装形態において、認証プロトコル情報は、UEによってサポートされる少なくとも2つの第3の認証プロトコルの識別子と、少なくとも2つの第3の認証プロトコルの各々の選択優先順位とを含み、
ネットワーク機能選択モジュールが、認証プロトコル情報に基づいて、ネットワークに含まれる少なくとも2つの認証モジュールから標的認証モジュールを選択することは、
ネットワーク機能選択モジュールによって、第3の認証プロトコルの識別子に基づいて、少なくとも2つの認証モジュールから第3の認証プロトコルのうちの少なくとも1つをサポートする被選択候補の認証モジュールを選択することと、
1つより多くの被選択候補の認証モジュールがある場合、各々の第3の認証プロトコルの選択優先順位に基づいて、最高の選択優先順位を有する第4の認証プロトコルをサポートする認証モジュールをすべての被選択候補の認証モジュールから標的認証モジュールとして選択することと
を含む。
いくつかの実現可能な実装形態において、認証プロトコル情報は、UEによってサポートされる少なくとも2つの第3の認証プロトコルの識別子と、少なくとも2つの第3の認証プロトコルの各々の選択優先順位とを含み、
第1のサービス要求はさらに、指定されたネットワークスライスの識別子を搬送し、
ネットワーク機能選択モジュールが、認証プロトコル情報に基づいて、ネットワークに含まれる少なくとも2つの認証モジュールから標的認証モジュールを選択することは、
ネットワーク機能選択モジュールによって、第3の認証プロトコルの識別子に基づいて、少なくとも2つの認証モジュールから第3の認証プロトコルのうちの少なくとも1つをサポートする第1の認証モジュールを選択することと、
1つより多くの第1の認証モジュールがある場合、各々の第3の認証プロトコルの選択優先順位に基づいて、最高の優先順位を有する第4の認証プロトコルをサポートする第2の認証モジュールをすべての第1の認証モジュールから選択することと、
1つより多くの第2の認証モジュールがある場合、各々の第2の認証モジュールの負荷状態または各々の第2の認証モジュールによってサービスされるネットワークスライスについての情報に基づいて、指定されたネットワークスライスにサービスする、最も負荷の小さい認証モジュールを、第2の認証モジュールから標的認証モジュールとして選択することと
を含む。
いくつかの実現可能な実装形態において、ネットワーク機能選択モジュールは、認証ユニットAU選択機能AUSF、AUルーティング機能AURF、スライス選択機能SSF、およびモビリティ管理MMのうちの少なくとも1つを含む。
特定の実装形態では、管理方法の各ステップにおいて説明される実装形態については、前述のシステムの各々の各適用シナリオに対応する実行方式を参照されたい。詳細は本明細書では再び説明されない。
図20は、本発明の実施形態による、サイバーセキュリティ管理方法の別の概略フローチャートである。本発明のこの実施形態において提供される管理方法は以下のステップを含み得る。
S2501.第2のネットワーク機能選択モジュールが、第1のネットワーク機能選択モジュールによって送信される認証モジュール選択要求を受信する。
認証モジュール選択要求はユーザ機器UEによって送信される認証プロトコル情報を搬送する。
前述の第1のサービス要求はユーザ機器UEによって送信される認証プロトコル情報を搬送する。
S2502.第2のネットワーク機能選択モジュールが、認証プロトコル情報に基づいて、ネットワークに含まれる少なくとも2つの認証モジュールから標的認証モジュールを選択する。
S2503.第2のネットワーク機能選択モジュールが、第1のネットワーク機能選択モジュールを使用することによってサービス要求を標的認証モジュールに送信するために、標的認証モジュールの識別子を第1のネットワーク機能選択モジュールに送信する。
本発明のこの実施形態では、第1のネットワーク機能選択モジュールがメッセージをルーティングすることがあり、第2のネットワーク機能選択モジュールが認証モジュール選択を実施するので、ネットワークシグナリングのオーバーヘッドが低減され得るとともに、認証モジュール選択効率が改善され得る。
図21は、本発明の実施形態による、サイバーセキュリティ管理方法の別の概略フローチャートである。本発明のこの実施形態において提供される管理方法は以下のステップを含み得る。
S2001.認証モジュールが、セキュリティポリシーコントローラによって配信されるネットワークスライスセキュリティポリシーを受信する。
S2002.認証モジュールが、アクセスネットワークANによって送信されるサービス要求を受信する。
サービス要求は、ユーザ機器UEのセキュリティ能力と、UEがアタッチされるべき指定されたネットワークスライスの識別子とを搬送する。
S2003.認証モジュールが、指定されたネットワークスライスの識別子に基づく指定されたネットワークスライスの指定されたセキュリティポリシーのために、セキュリティポリシーコントローラによって配信されるネットワークスライスセキュリティポリシーを探して、指定されたセキュリティポリシーに従ってセキュリティ構成を決定する。
S2004.認証モジュールがサービス要求応答をANに送信する。
サービス要求応答がセキュリティ構成を搬送する。
いくつかの実現可能な実装形態において、指定されたセキュリティポリシーは、鍵情報および暗号化アルゴリズム情報または完全性保護アルゴリズム情報を含み、
サービス要求はさらに、ユーザ機器UEのセキュリティ能力を搬送し、
指定されたセキュリティポリシーに従ってセキュリティ構成を決定することは、
指定されたネットワークスライスの指定されたセキュリティポリシーにおいて指定される鍵長を決定して、鍵長に対応する鍵を生成することと、
UEのセキュリティ能力、ANのセキュリティ能力、ならびに指定されたセキュリティポリシーに含まれる暗号化アルゴリズム情報および完全性保護アルゴリズム情報に基づいて、標的暗号化アルゴリズムまたは標的完全性保護アルゴリズムを選択することと、
鍵、および標的暗号化アルゴリズムの識別子または標的完全性保護アルゴリズムの識別子に基づいてセキュリティ構成を生成して、セキュリティ構成を第2のサービス要求応答に追加することと
を含む。
いくつかの実現可能な実装形態において、指定されたセキュリティポリシーは鍵情報を含み、
指定されたセキュリティポリシーに従ってセキュリティ構成を決定することは、
指定されたネットワークスライスの指定されたセキュリティポリシーにおいて指定される鍵長を決定し、鍵長に対応する鍵を生成し、鍵および指定されたネットワークスライスの識別子に基づいてセキュリティ構成を生成し、セキュリティ構成を第2のサービス要求応答に追加することを含む。
いくつかの実現可能な実装形態において、指定されたセキュリティポリシーは、暗号化アルゴリズム情報または完全性保護アルゴリズム情報を含み、
サービス要求はさらに、ユーザ機器UEのセキュリティ能力を搬送し、
指定されたセキュリティポリシーに従ってセキュリティ構成を決定することは、
UEのセキュリティ能力、ANのセキュリティ能力、ならびに指定されたセキュリティポリシーに含まれる暗号化アルゴリズム情報および完全性保護アルゴリズム情報に基づいて、標的暗号化アルゴリズムまたは標的完全性保護アルゴリズムを選択することと、
標的暗号化アルゴリズムの識別子または標的完全性保護アルゴリズムの識別子に基づいてセキュリティ構成を生成して、セキュリティ構成を第2のサービス要求応答に追加することと
を含む。
いくつかの実現可能な実装形態において、指定されたセキュリティポリシーに含まれる暗号化アルゴリズム情報は暗号化アルゴリズム選択優先順位であり、完全性保護アルゴリズム情報は完全性保護アルゴリズム選択優先順位であり、
標的暗号化アルゴリズムは、UEとANの両方によってサポートされる暗号化アルゴリズムの中で最高の選択優先順位を有する暗号化アルゴリズムであり、
標的完全性保護アルゴリズムは、UEとANの両方によってサポートされる完全性保護アルゴリズムの中で最高の選択優先順位を有する完全性保護アルゴリズムである。
いくつかの実現可能な実装形態において、認証モジュールは、認証ユニットAU、フロントエンド、およびアクセス制御エージェントACAのうちの少なくとも1つを含む。
特定の実装形態では、管理方法の各ステップにおいて説明される実装形態については、前述のシステムの各々の各適用シナリオに対応する実行方式を参照されたい。詳細は本明細書では再び説明されない。
図22は、本発明の実施形態による、サイバーセキュリティ管理方法の別の概略フローチャートである。本発明のこの実施形態において提供される管理方法は以下のステップを含み得る。
S2101.アクセスネットワークANが、ユーザ機器UEによって送信される第1のサービス要求を受信する。
第1のサービス要求は、UEのセキュリティ能力と、UEがアタッチされるべき指定されたネットワークスライスの識別子とを搬送する。
S2102.ANが第2のサービス要求を認証モジュールに送信する。
第2のサービス要求は、UEがアタッチされるべき指定されたネットワークスライスの識別子と、ANのセキュリティ能力と、UEのセキュリティ能力とを搬送する。
S2103.ANが、セキュリティポリシーコントローラによって配信されるネットワークスライスセキュリティポリシーを受信する。
S2104.ANが、認証モジュールによって送信される第2のサービス要求応答を受信する。
第2のサービス要求応答は、指定されたネットワークスライスの識別子、ANのセキュリティ能力、およびUEのセキュリティ能力に基づいて認証モジュールによって決定される第1のセキュリティ構成を搬送する。
S2105.ANが、第1のセキュリティ構成に基づいて第2のセキュリティ構成を決定し、第1のサービス要求応答をUEに送信する。
第1のサービス要求応答が第2のセキュリティ構成を搬送する。
いくつかの実現可能な実装形態において、第1のセキュリティ構成は、鍵、および暗号化アルゴリズムの識別子または完全性保護アルゴリズムの識別子を含み、
ANが第1のセキュリティ構成に基づいて第2のセキュリティ構成を決定することは、
ANによって鍵を記憶し、暗号化アルゴリズムの識別子および完全性保護アルゴリズムの識別子を第1のセキュリティ構成から取得し、暗号化アルゴリズムの識別子および完全性保護アルゴリズムの識別子に基づいて第2のセキュリティ構成を生成することを含む。
特定の実装形態では、管理方法の各ステップにおいて説明される実装形態については、前述のシステムの各々の各適用シナリオに対応する実行方式を参照されたい。詳細は本明細書では再び説明されない。
図23は、本発明の実施形態による、サイバーセキュリティ管理方法の別の概略フローチャートである。本発明のこの実施形態において提供される管理方法は以下のステップを含み得る。
S2601.アクセスネットワークANが、ユーザ機器UEによって送信される第1のサービス要求を受信する。
第1のサービス要求は、UEのセキュリティ能力と、UEがアタッチされるべき指定されたネットワークスライスの識別子とを搬送する。
S2602.ANが第2のサービス要求を認証モジュールに送信する。
第2のサービス要求は、UEがアタッチされるべき指定されたネットワークスライスの識別子を搬送する。
S2603.ANが、認証モジュールによって送信される第2のサービス要求応答を受信する。
S2604.ANが、UEのセキュリティ能力および指定されたネットワークスライスの識別子に対応する指定されたセキュリティポリシーに基づいて第2のセキュリティ構成を決定し、第1のサービス要求応答をUEに送信する。
第1のサービス要求応答が第2のセキュリティ構成を搬送する。
いくつかの実現可能な実装形態において、ANが、UEのセキュリティ能力および指定されたネットワークスライスの識別子に対応する指定されたセキュリティポリシーに基づいて第2のセキュリティ構成を決定することは、
ANによって、指定されたネットワークスライスの識別子に基づいて指定されたセキュリティポリシーを決定することと、
ANのセキュリティ能力、UEのセキュリティ能力、および指定されたセキュリティポリシーに基づいて標的暗号化アルゴリズムまたは標的完全性保護アルゴリズムを選択し、標的暗号化アルゴリズムの識別子または標的完全性保護アルゴリズムの識別子に基づいて第2のセキュリティ構成を生成することと
を含む。
いくつかの実現可能な実装形態において、指定されたセキュリティポリシーに含まれる暗号化アルゴリズム情報は暗号化アルゴリズム選択優先順位であり、完全性保護アルゴリズム情報は完全性保護アルゴリズム選択優先順位であり、
標的暗号化アルゴリズムは、UEとANの両方によってサポートされる暗号化アルゴリズムの中で最高の選択優先順位を有する暗号化アルゴリズムであり、
標的完全性保護アルゴリズムは、UEとANの両方によってサポートされる完全性保護アルゴリズムの中で最高の選択優先順位を有する完全性保護アルゴリズムである。
特定の実装形態では、管理方法の各ステップにおいて説明される実装形態については、前述のシステムの各々の各適用シナリオに対応する実行方式を参照されたい。詳細は本明細書では再び説明されない。
図24は、本発明の実施形態による、サイバーセキュリティ管理装置の概略構造図である。図24に示されるように、本発明のこの実施形態において提供される管理装置は、具体的には、本発明の実施形態において提供されるネットワーク管理選択モジュールであり得る。管理装置は、
ユーザ機器UEによって送信される第1のサービス要求を受信するように構成される受信ユニット221であって、第1のサービス要求が認証プロトコル情報を搬送する、受信ユニット221と、
受信ユニットによって受信される認証プロトコル情報に基づいて、ネットワークに含まれる少なくとも2つの認証モジュールから標的認証モジュールを選択するように構成される選択ユニット222と、
選択ユニットによって選択される標的認証モジュールに第2のサービス要求を送信するように構成される送信ユニット223と
を含み得る。
いくつかの実現可能な実装形態において、認証プロトコル情報は、UEによって選択される第1の認証プロトコルの識別子を含み、
選択ユニット222は特に、
第1の認証プロトコルの識別子に基づいて、少なくとも2つの認証モジュールから第1の認証プロトコルをサポートする標的認証モジュールを選択する
ように構成される。
いくつかの実現可能な実装形態において、1つより多くの認証モジュールが第1の認証プロトコルをサポートする場合、
選択ユニット222は特に、
第1の認証プロトコルをサポートする各認証モジュールの負荷状態に基づいて、最も負荷の小さい認証モジュールを認証モジュールから標的認証モジュールとして選択する
ように構成される。
いくつかの実現可能な実装形態において、認証プロトコル情報は、UEによって選択される第1の認証プロトコルの識別子を含み、
第1のサービス要求はさらに、指定されたネットワークスライスの識別子を搬送し、
選択ユニット222は特に、
第1の認証プロトコルの識別子および指定されたネットワークスライスの識別子に基づいて、少なくとも2つの認証モジュールから第1の認証プロトコルおよび指定されたネットワークスライスをサポートする標的認証モジュールを選択する
ように構成される。
いくつかの実現可能な実装形態において、1つより多くの認証モジュールが第1の認証プロトコルおよび指定されたネットワークスライスをサポートする場合、選択ユニット222は特に、
第1の認証プロトコルおよび指定されたネットワークスライスをサポートする各認証モジュールの負荷状態に基づいて、最も負荷の小さい認証モジュールを認証モジュールから標的認証モジュールとして選択する
ように構成される。
認証プロトコル情報は、UEによってサポートされる少なくとも2つの第2の認証プロトコルの識別子を含み、
選択ユニット222は特に、
第2の認証プロトコルの識別子に基づいて、第2の認証プロトコルのうちの少なくとも1つをサポートする被選択候補の認証モジュールを、少なくとも2つの認証モジュールから標的認証モジュールとして選択する
ように構成される。
いくつかの実現可能な実装形態において、認証プロトコル情報は、UEによってサポートされる少なくとも2つの第2の認証プロトコルの識別子を含み、
第1のサービス要求はさらに、指定されたネットワークスライスの識別子を搬送し、
選択ユニット222は特に、
第2の認証プロトコルの識別子に基づいて、第2の認証プロトコルのうちの少なくとも1つをサポートし指定されたネットワークスライスをサポートする被選択候補の認証モジュールを、少なくとも2つの認証モジュールから標的認証モジュールとして選択する
ように構成される。
いくつかの実現可能な実装形態において、認証プロトコル情報は、UEによってサポートされる少なくとも2つの第2の認証プロトコルの識別子を含み、
選択ユニット222は特に、
ネットワークにおいて設定される認証プロトコル選択優先順位に基づいて、UEによってサポートされる第2の認証プロトコルから最高の選択優先順位を有する認証プロトコルを決定し、最高の選択優先順位を有する認証プロトコルをサポートする被選択候補の認証モジュールを少なくとも2つの認証モジュールから標的認証モジュールとして選択する
ように構成される。
いくつかの実現可能な実装形態において、1つより多くの被選択候補の認証モジュールがある場合、選択ユニット222は特に、
1つより多くの被選択候補の認証モジュールの各々の負荷状態に基づいて、最も負荷の小さい認証モジュールを認証モジュールから標的認証モジュールとして選択する
ように構成される。
いくつかの実現可能な実装形態において、認証プロトコル情報は、UEによってサポートされる少なくとも2つの第3の認証プロトコルの識別子と、少なくとも2つの第3の認証プロトコルの各々の選択優先順位とを含み、
選択ユニット222は特に、
第3の認証プロトコルの識別子に基づいて、少なくとも2つの認証モジュールから第3の認証プロトコルのうちの少なくとも1つをサポートする被選択候補の認証モジュールを選択し、
1つより多くの被選択候補の認証モジュールがある場合、各々の第3の認証プロトコルの選択優先順位に基づいて、最高の選択優先順位を有する第4の認証プロトコルをサポートする認証モジュールをすべての被選択候補の認証モジュールから標的認証モジュールとして選択する
ように構成される。
いくつかの実現可能な実装形態において、認証プロトコル情報は、UEによってサポートされる少なくとも2つの第3の認証プロトコルの識別子と、少なくとも2つの第3の認証プロトコルの各々の選択優先順位とを含み、
第1のサービス要求はさらに、指定されたネットワークスライスの識別子を搬送し、
選択ユニット222は特に、
第3の認証プロトコルの識別子に基づいて、少なくとも2つの認証モジュールから第3の認証プロトコルのうちの少なくとも1つをサポートする第1の認証モジュールを選択し、
1つより多くの第1の認証モジュールがある場合、各々の第3の認証プロトコルの選択優先順位に基づいて、最高の優先順位を有する第4の認証プロトコルをサポートする第2の認証モジュールをすべての第1の認証モジュールから選択し、
1つより多くの第2の認証モジュールがある場合、各々の第2の認証モジュールの負荷状態または各々の第2の認証モジュールによってサービスされるネットワークスライスについての情報に基づいて、指定されたネットワークスライスにサービスする、最も負荷の小さい認証モジュールを、第2の認証モジュールから標的認証モジュールとして選択する
ように構成される。
いくつかの実現可能な実装形態において、選択ユニット222は第1のサブユニットおよび第2のサブユニットを含み、
第1のサブユニットは、UEによって送信される第1のサービス要求を受信し、認証モジュール選択要求を第2のサブユニットに送信するように構成され、認証モジュール選択要求は認証プロトコル情報を搬送し、
第2のサブユニットは、認証プロトコル情報に基づいて少なくとも2つの認証モジュールから標的認証モジュールを選択し、標的認証モジュールの識別子を第1のサブユニットに送信するように構成され、
第1のサブユニットはさらに、標的認証モジュールの識別子に対応する標的認証モジュールに第2のサービス要求を送信するように構成される。
いくつかの実現可能な実装形態において、第2のサブユニットは特に、選択ユニットによって実行される実装形態のうちのいずれか1つを実行するように構成される。
いくつかの実現可能な実装形態において、選択ユニット222は、認証ユニットAU選択機能AUSF、AUルーティング機能AURF、スライス選択機能SSF、およびモビリティ管理MMのうちの少なくとも1つを含む。
いくつかの実現可能な実装形態において、第1のサブユニットはAURFであり、第2のサブユニットはAUSFである。
特定の実装形態では、管理方法の各ステップにおいて説明される実装形態については、前述のシステムの各々の各適用シナリオに対応する実行方式を参照されたい。詳細は本明細書では再び説明されない。
図25は、本発明の実施形態による、サイバーセキュリティ管理装置の別の概略構造図である。図25に示されるように、本発明のこの実施形態において提供される管理装置は、具体的には、本発明の実施形態において提供される認証モジュールであり得る。管理装置は、
セキュリティポリシーコントローラによって配信されるネットワークスライスセキュリティポリシーを受信するように構成される受信ユニット231であって、
受信ユニット231が、アクセスネットワークANによって送信されるサービス要求を受信するようにさらに構成され、サービス要求が、ユーザ機器UEのセキュリティ能力と、UEがアタッチされるべき指定されたネットワークスライスの識別子とを搬送する、受信ユニット231と、
受信ユニット231によって受信される指定されたネットワークスライスの識別子に基づく指定されたネットワークスライスの指定されたセキュリティポリシーのために、セキュリティポリシーコントローラによって配信されるネットワークスライスセキュリティポリシーを探して、指定されたセキュリティポリシーに従ってセキュリティ構成を決定するように構成される実行ユニット232と、
サービス要求応答をANに送信するように構成される送信ユニット233であって、サービス要求応答は実行ユニット232によって決定されるセキュリティ構成を搬送する、送信ユニット233と
を含むことがある。
いくつかの実現可能な実装形態において、指定されたセキュリティポリシーは、鍵情報、および暗号化アルゴリズム情報または完全性保護アルゴリズム情報を含み、
サービス要求はさらに、ユーザ機器UEのセキュリティ能力を搬送し、
実行ユニット232は特に、
指定されたネットワークスライスの指定されたセキュリティポリシーにおいて指定される鍵長を決定して、鍵長に対応する鍵を生成し、
UEのセキュリティ能力、ANのセキュリティ能力、および指定されたセキュリティポリシーに含まれる暗号化アルゴリズム情報または完全性保護アルゴリズム情報に基づいて、標的暗号化アルゴリズムまたは標的完全性保護アルゴリズムを選択し、
鍵、および標的暗号化アルゴリズムの識別子または標的完全性保護アルゴリズムの識別子に基づいてセキュリティ構成を生成して、セキュリティ構成を第2のサービス要求応答に追加する
ように構成される。
いくつかの実現可能な実装形態において、指定されたセキュリティポリシーは鍵情報を含み、
実行ユニット232は特に、
指定されたネットワークスライスの指定されたセキュリティポリシーにおいて指定される鍵長を決定し、鍵長に対応する鍵を生成し、鍵および指定されたネットワークスライスの識別子に基づいてセキュリティ構成を生成し、セキュリティ構成を第2のサービス要求応答に追加する
ように構成される。
いくつかの実現可能な実装形態において、指定されたセキュリティポリシーは、暗号化アルゴリズム情報または完全性保護アルゴリズム情報を含み、
サービス要求はさらに、ユーザ機器UEのセキュリティ能力を搬送し、
実行ユニットは特に、
UEのセキュリティ能力、ANのセキュリティ能力、および指定されたセキュリティポリシーに含まれる暗号化アルゴリズム情報または完全性保護アルゴリズム情報に基づいて、標的暗号化アルゴリズムまたは標的完全性保護アルゴリズムを選択し、
暗号化アルゴリズムの識別子または完全性保護アルゴリズムの識別子に基づいてセキュリティ構成を生成して、セキュリティ構成を第2のサービス要求応答に追加する
ように構成される。
いくつかの実現可能な実装形態において、指定されたセキュリティポリシーに含まれる暗号化アルゴリズム情報は暗号化アルゴリズム選択優先順位であり、完全性保護アルゴリズム情報は完全性保護アルゴリズム選択優先順位であり、
標的暗号化アルゴリズムは、UEとANの両方によってサポートされる暗号化アルゴリズムの中で最高の選択優先順位を有する暗号化アルゴリズムであり、
標的完全性保護アルゴリズムは、UEとANの両方によってサポートされる完全性保護アルゴリズムの中で最高の選択優先順位を有する完全性保護アルゴリズムである。
いくつかの実現可能な実装形態において、実行ユニット232は、認証ユニットAU、フロントエンド、およびアクセス制御エージェントACAのうちの少なくとも1つを含む。
特定の実装形態では、管理方法の各ステップにおいて説明される実装形態については、前述のシステムの各々の各適用シナリオに対応する実行方式を参照されたい。詳細は本明細書では再び説明されない。
図26は、本発明の実施形態による、サイバーセキュリティ管理装置の別の概略構造図である。図26に示されるように、本発明のこの実施形態において提供される管理装置は、具体的には、本発明の実施形態において提供されるAN(またはRAN)であり得る。管理装置は、
ユーザ機器UEによって送信される第1のサービス要求を受信するように構成される受信ユニット241であって、第1のサービス要求が、UEのセキュリティ能力と、UEがアタッチされるべき指定されたネットワークスライスの識別子とを搬送する、受信ユニット241と、
受信ユニットによって受信される第1のサービス要求に基づいて第2のサービス要求を認証モジュールに送信するように構成される送信ユニット242であって、第2のサービス要求が、UEがアタッチされるべき指定されたネットワークスライスの識別子と、ANのセキュリティ能力と、UEのセキュリティ能力とを搬送し、
受信ユニット241がさらに、セキュリティポリシーコントローラによって配信されるネットワークスライスセキュリティポリシーを受信するように構成され、
受信ユニット241がさらに、認証モジュールによって送信される第2のサービス要求応答を受信するように構成され、第2のサービス要求応答が、指定されたネットワークスライスの識別子、ANのセキュリティ能力、およびUEのセキュリティ能力に基づいて認証モジュールによって決定される第1のセキュリティ構成を搬送する、送信ユニット242と、
受信ユニットによって受信される第1のセキュリティ構成に基づいて第2のセキュリティ構成を決定するように構成される処理ユニット243と
を含むことがあり、
送信ユニット242がさらに、第1のサービス要求応答をUEに送信するように構成され、第1のサービス要求応答が処理ユニットによって決定される第2のセキュリティ構成を搬送する。
いくつかの実現可能な実装形態において、第1のセキュリティ構成は、鍵、および暗号化アルゴリズムの識別子または完全性保護アルゴリズムの識別子を含み、
処理ユニット243は特に、
鍵を記憶し、暗号化アルゴリズムの識別子または完全性保護アルゴリズムの識別子を第1のセキュリティ構成から取得し、暗号化アルゴリズムの識別子または完全性保護アルゴリズムの識別子に基づいて第2のセキュリティ構成を生成する
ように構成される。
特定の実装形態では、管理方法の各ステップにおいて説明される実装形態については、前述のシステムの各々の各適用シナリオに対応する実行方式を参照されたい。詳細は本明細書では再び説明されない。
図27は、本発明の実施形態による、サイバーセキュリティ管理装置の別の概略構造図である。図27に示されるように、本発明のこの実施形態において提供される管理装置は、具体的には、本発明の実施形態において提供されるAN(またはRAN)であり得る。管理装置は、
ユーザ機器UEによって送信される第1のサービス要求を受信するように構成される受信ユニット271であって、第1のサービス要求が、UEのセキュリティ能力と、UEがアタッチされるべき指定されたネットワークスライスの識別子とを搬送する、受信ユニット271と、
受信ユニットによって受信される第1のサービス要求に基づいて第2のサービス要求を認証モジュールに送信するように構成される送信ユニット272であって、第2のサービス要求が、UEがアタッチされるべき指定されたネットワークスライスの識別子を搬送し、
受信ユニット271がさらに、認証モジュールによって送信される第2のサービス要求応答を受信するように構成される、送信ユニット272と、
受信ユニットによって受信されるUEのセキュリティ能力および指定されたネットワークスライスの識別子に対応する指定されたセキュリティポリシーに基づいて第2のセキュリティ構成を決定するように構成される処理ユニット273と
を含むことがあり、
送信ユニット272がさらに、第1のサービス要求応答をUEに送信するように構成され、第1のサービス要求応答が処理ユニットによって決定される第2のセキュリティ構成を搬送する。
いくつかの実現可能な実装形態において、処理ユニットは特に、
指定されたネットワークスライスの識別子に基づいて指定されたセキュリティポリシーを決定し、
ANのセキュリティ能力、UEのセキュリティ能力、および指定されたセキュリティポリシーに基づいて標的暗号化アルゴリズムまたは標的完全性保護アルゴリズムを選択し、標的暗号化アルゴリズムの識別子または標的完全性保護アルゴリズムの識別子に基づいて第2のセキュリティ構成を生成する
ように構成される。
いくつかの実現可能な実装形態において、指定されたセキュリティポリシーに含まれる暗号化アルゴリズム情報は暗号化アルゴリズム選択優先順位であり、完全性保護アルゴリズム情報は完全性保護アルゴリズム選択優先順位であり、
標的暗号化アルゴリズムは、UEとANの両方によってサポートされる暗号化アルゴリズムの中で最高の選択優先順位を有する暗号化アルゴリズムであり、
標的完全性保護アルゴリズムは、UEとANの両方によってサポートされる完全性保護アルゴリズムの中で最高の選択優先順位を有する完全性保護アルゴリズムである。
特定の実装形態では、管理方法の各ステップにおいて説明される実装形態については、前述のシステムの各々の各適用シナリオに対応する実行方式を参照されたい。詳細は本明細書では再び説明されない。
本発明の明細書、特許請求の範囲、および添付の図面において、「第1の」、「第2の」、「第3の」、「第4の」などの用語は、異なる対象物を区別することが意図されており、特定の順序を示さない。その上、「含む(include)」、「含む(contain)」という用語、およびこれらのあらゆる他の変形は、非排他的な包含をカバーすることが意図されている。たとえば、一連のステップまたはユニットを含む、処理、方法、システム、製品、もしくはデバイスは、列挙されたステップもしくはユニットに限定されず、任意選択で、列挙されないステップもしくはユニットをさらに含み、または、任意選択で、そのプロセス、方法、システム、製品、もしくはデバイスの別の固有のステップもしくはユニットをさらに含む。
当業者は、実施形態の方法の処理のすべてまたは一部が関連するハードウェアに指示するコンピュータプログラムによって実施され得ることを、理解し得る。プログラムはコンピュータ可読記憶媒体に記憶され得る。プログラムが動作すると、実施形態の方法の処理が実行され得る。記憶媒体は、磁気ディスク、光学ディスク、読取り専用メモリ(Read−Only Memory,ROM)、ランダムアクセスメモリ(Random Access Memory,RAM)などを含み得る。
上で開示されることは、本発明の実施形態の例にすぎず、当然、本発明の特許請求の範囲を限定することは意図されていない。したがって、本発明の特許請求の範囲に従って行われる等価な変形が、本発明の範囲に入るものとする。

Claims (93)

  1. サイバーセキュリティ管理システムであって、前記管理システムが、少なくとも2つのネットワークスライスを備えるネットワークのセキュリティ管理を実施するように構成され、前記システムが、ユーザ機器UEと、アクセスネットワークANと、ネットワーク機能選択モジュールと、少なくとも2つの認証モジュールとを備え、
    前記UEが第1のサービス要求を前記ネットワーク機能選択モジュールに送信するように構成され、前記第1のサービス要求が認証プロトコル情報を搬送し、
    前記ネットワーク機能選択モジュールが、前記認証プロトコル情報に基づいて前記少なくとも2つの認証モジュールから標的認証モジュールを選択し、第2のサービス要求を前記標的認証モジュールに送信するように構成され、
    前記標的認証モジュールが、前記第2のサービス要求を受信し、前記UEとの相互認証を実行するように構成され、
    前記標的認証モジュールがさらに、前記UEがアタッチされるべき指定されたネットワークスライスの指定されたセキュリティポリシーに従って第1のセキュリティ構成を決定し、第2のサービス要求応答を前記ANに送信するように構成され、前記第2のサービス要求応答が前記第1のセキュリティ構成を搬送し、
    前記ANが、前記第1のセキュリティ構成または前記指定されたセキュリティポリシーに基づいて第2のセキュリティ構成を決定し、第1のサービス要求応答を前記UEに送信するように構成され、前記第1のサービス要求応答が前記第2のセキュリティ構成を搬送する、サイバーセキュリティ管理システム。
  2. 前記認証プロトコル情報が、前記UEによって選択される第1の認証プロトコルの識別子を備え、
    前記ネットワーク機能選択モジュールが特に、
    前記第1の認証プロトコルの前記識別子に基づいて、前記少なくとも2つの認証モジュールから前記第1の認証プロトコルをサポートする前記標的認証モジュールを選択する
    ように構成される請求項1に記載の管理システム。
  3. 1つより多くの認証モジュールが前記第1の認証プロトコルをサポートする場合、前記ネットワーク機能選択モジュールが特に、
    前記第1の認証プロトコルをサポートする各認証モジュールの負荷状態に基づいて、最も負荷の小さい認証モジュールを前記認証モジュールから前記標的認証モジュールとして選択する
    ように構成される請求項2に記載の管理システム。
  4. 前記認証プロトコル情報が、前記UEによって選択される第1の認証プロトコルの識別子を備え、
    前記第1のサービス要求がさらに、前記指定されたネットワークスライスの識別子を搬送し、
    前記ネットワーク機能選択モジュールが特に、
    前記第1の認証プロトコルの前記識別子および前記指定されたネットワークスライスの前記識別子に基づいて、前記少なくとも2つの認証モジュールから前記第1の認証プロトコルおよび前記指定されたネットワークスライスをサポートする前記標的認証モジュールを選択する
    ように構成される請求項1に記載の管理システム。
  5. 1つより多くの認証モジュールが前記第1の認証プロトコルおよび前記指定されたネットワークスライスをサポートする場合、前記ネットワーク機能選択モジュールが特に、
    前記第1の認証プロトコルおよび前記指定されたネットワークスライスをサポートする各認証モジュールの負荷状態に基づいて、最も負荷の小さい認証モジュールを前記認証モジュールから前記標的認証モジュールとして選択する
    ように構成される請求項4に記載の管理システム。
  6. 前記認証プロトコル情報が、前記UEによってサポートされる少なくとも2つの第2の認証プロトコルの識別子を備え、
    前記ネットワーク機能選択モジュールが特に、
    前記第2の認証プロトコルの前記識別子に基づいて、前記第2の認証プロトコルのうちの少なくとも1つをサポートする被選択候補の認証モジュールを、前記少なくとも2つの認証モジュールから前記標的認証モジュールとして選択する
    ように構成される請求項1に記載の管理システム。
  7. 前記認証プロトコル情報が、前記UEによってサポートされる少なくとも2つの第2の認証プロトコルの識別子を備え、
    前記第1のサービス要求がさらに、前記指定されたネットワークスライスの識別子を搬送し、
    前記ネットワーク機能選択モジュールが特に、
    前記第2の認証プロトコルの前記識別子に基づいて、前記第2の認証プロトコルのうちの少なくとも1つをサポートし前記指定されたネットワークスライスをサポートする被選択候補の認証モジュールを、前記少なくとも2つの認証モジュールから前記標的認証モジュールとして選択する
    ように構成される請求項1に記載の管理システム。
  8. 前記認証プロトコル情報が、前記UEによってサポートされる少なくとも2つの第2の認証プロトコルの識別子を備え、
    前記ネットワーク機能選択モジュールが特に、
    前記ネットワークにおいて設定される認証プロトコル選択優先順位に基づいて、前記UEによってサポートされる前記第2の認証プロトコルから最高の選択優先順位を有する認証プロトコルを決定し、前記最高の選択優先順位を有する前記認証プロトコルをサポートする被選択候補の認証モジュールを前記少なくとも2つの認証モジュールから前記標的認証モジュールとして選択する
    ように構成される請求項1に記載の管理システム。
  9. 1つより多くの被選択候補の認証モジュールがある場合、前記ネットワーク機能選択モジュールが特に、
    前記1つより多くの被選択候補の認証モジュールの各々の負荷状態に基づいて、最も負荷の小さい認証モジュールを前記認証モジュールから前記標的認証モジュールとして選択する
    ように構成される請求項6乃至8のいずれか一項に記載の管理システム。
  10. 前記認証プロトコル情報が、前記UEによってサポートされる少なくとも2つの第3の認証プロトコルの識別子と、前記少なくとも2つの第3の認証プロトコルの各々の選択優先順位とを備え、
    前記ネットワーク機能選択モジュールが特に、
    前記第3の認証プロトコルの前記識別子に基づいて、前記少なくとも2つの認証モジュールから前記第3の認証プロトコルのうちの少なくとも1つをサポートする被選択候補の認証モジュールを選択し、
    1つより多くの被選択候補の認証モジュールがある場合、各々の第3の認証プロトコルの前記選択優先順位に基づいて、最高の選択優先順位を有する第4の認証プロトコルをサポートする認証モジュールをすべての被選択候補の認証モジュールから前記標的認証モジュールとして選択する
    ように構成される請求項1に記載の管理システム。
  11. 前記認証プロトコル情報が、前記UEによってサポートされる少なくとも2つの第3の認証プロトコルの識別子と、前記少なくとも2つの第3の認証プロトコルの各々の選択優先順位とを備え、
    前記第1のサービス要求がさらに、前記指定されたネットワークスライスの識別子を搬送し、
    前記ネットワーク機能選択モジュールが特に、
    前記第3の認証プロトコルの前記識別子に基づいて、前記少なくとも2つの認証モジュールから前記第3の認証プロトコルのうちの少なくとも1つをサポートする第1の認証モジュールを選択し、
    1つより多くの第1の認証モジュールがある場合、各々の第3の認証プロトコルの前記選択優先順位に基づいて、最高の優先順位を有する第4の認証プロトコルをサポートする第2の認証モジュールをすべての第1の認証モジュールから選択し、
    1つより多くの第2の認証モジュールがある場合、各々の第2の認証モジュールの負荷状態または各々の第2の認証モジュールによってサービスされるネットワークスライスについての情報に基づいて、前記指定されたネットワークスライスにサービスする、最も負荷の小さい認証モジュールを、前記第2の認証モジュールから前記標的認証モジュールとして選択する
    ように構成される請求項1に記載の管理システム。
  12. 前記ネットワーク機能選択モジュールが、第1のサブモジュールおよび第2のサブモジュールを備え、
    前記第1のサブモジュールが、前記UEによって送信される前記第1のサービス要求を受信し、認証モジュール選択要求を前記第2のサブモジュールに送信するように構成され、前記認証モジュール選択要求が前記認証プロトコル情報を搬送し、
    前記第2のサブモジュールが、前記認証プロトコル情報に基づいて前記少なくとも2つの認証モジュールから前記標的認証モジュールを選択し、前記標的認証モジュールの識別子を前記第1のサブモジュールに送信するように構成され、
    前記第1のサブモジュールがさらに、前記標的認証モジュールの前記識別子に対応する前記標的認証モジュールに前記第2のサービス要求を送信するように構成される請求項1に記載の管理システム。
  13. 前記第2のサブモジュールが特に、請求項2乃至11のいずれか一項に記載の前記ネットワーク機能選択モジュールによって実行される実装形態を実行するように構成される請求項12に記載の管理システム。
  14. セキュリティポリシーコントローラをさらに備え、
    前記セキュリティポリシーコントローラが、ネットワークスライスセキュリティポリシーを前記認証モジュールまたは前記ANに配信するように構成される請求項2乃至11のいずれか一項に記載の管理システム。
  15. 前記セキュリティポリシーコントローラが、前記ネットワークスライスセキュリティポリシーを前記認証モジュールに配信するように構成され、
    前記第2のサービス要求がさらに、前記UEのセキュリティ能力および前記ANのセキュリティ能力を搬送し、
    前記標的認証モジュールがさらに、
    前記指定されたネットワークスライスに対応する前記指定されたセキュリティポリシーにおいて指定される鍵長を決定して、前記鍵長に対応する鍵を生成し、
    前記UEの前記セキュリティ能力、前記ANの前記セキュリティ能力、および前記指定されたセキュリティポリシーに基づいて、標的暗号化アルゴリズムまたは標的完全性保護アルゴリズムを選択し、
    前記鍵、および前記標的暗号化アルゴリズムの識別子または前記標的完全性保護アルゴリズムの識別子を使用することによって前記第1のセキュリティ構成を生成して、前記第1のセキュリティ構成を前記第2のサービス要求応答に追加する
    ように構成され、
    前記ANが特に、
    前記第2のセキュリティ構成として、前記第1のセキュリティ構成において搬送される前記標的暗号化アルゴリズムの前記識別子または前記標的完全性保護アルゴリズムの前記識別子を決定して、前記第2のセキュリティ構成を前記第1のサービス要求応答に追加する
    ように構成される請求項14に記載の管理システム。
  16. 前記セキュリティポリシーコントローラが、前記ネットワークスライスセキュリティポリシーを前記認証モジュールおよび前記ANに配信するように構成され、
    前記第2のサービス要求がさらに、前記UEのセキュリティ能力を搬送し、
    前記標的認証モジュールがさらに、
    前記指定されたネットワークスライスの前記指定されたセキュリティポリシーにおいて指定される鍵長を決定し、前記鍵長に対応する鍵を生成し、前記鍵および前記指定されたネットワークスライスの前記識別子に基づいて前記第1のセキュリティ構成を生成し、前記第1のセキュリティ構成を前記第2のサービス要求応答に追加する
    ように構成され、
    前記ANが特に、
    前記指定されたネットワークスライスの前記識別子に基づいて前記指定されたセキュリティポリシーを決定し、前記ANのセキュリティ能力、前記UEの前記セキュリティ能力、および前記指定されたセキュリティポリシーに基づいて、標的暗号化アルゴリズムまたは標的完全性保護アルゴリズムを選択し、
    前記第2のセキュリティ構成を取得するために、前記標的暗号化アルゴリズムの識別子または前記標的完全性保護アルゴリズムの識別子を前記第1のセキュリティ構成に追加する
    ように構成される請求項14に記載の管理システム。
  17. 前記セキュリティポリシーコントローラが、前記ネットワークスライスセキュリティポリシーを前記認証モジュールに配信するように構成され、
    前記第2のサービス要求がさらに、前記UEのセキュリティ能力を搬送し、
    前記標的認証モジュールがさらに、
    前記UEの前記セキュリティ能力、前記ANのセキュリティ能力、および前記指定されたセキュリティポリシーに基づいて、標的暗号化アルゴリズムまたは標的完全性保護アルゴリズムを選択し、
    前記標的暗号化アルゴリズムの識別子または前記標的完全性保護アルゴリズムの識別子を使用することによって前記第1のセキュリティ構成を生成して、前記第1のセキュリティ構成を前記第2のサービス要求応答に追加する
    ように構成され、
    前記ANが特に、
    前記第2のセキュリティ構成として、前記第1のセキュリティ構成において搬送される前記標的暗号化アルゴリズムの前記識別子または前記標的完全性保護アルゴリズムの前記識別子を決定して、前記第2のセキュリティ構成を前記第1のサービス要求応答に追加する
    ように構成される請求項14に記載の管理システム。
  18. 前記標的暗号化アルゴリズムが、前記UEと前記ANの両方によってサポートされる暗号化アルゴリズムの中で最高の選択優先順位を有する暗号化アルゴリズムであり、
    前記標的完全性保護アルゴリズムが、前記UEと前記ANの両方によってサポートされる完全性保護アルゴリズムの中で最高の選択優先順位を有する完全性保護アルゴリズムである請求項15乃至17のいずれか一項に記載の管理システム。
  19. 前記ネットワーク機能選択モジュールが、認証ユニットAU選択機能AUSF、AUルーティング機能AURF、スライス選択機能SSF、およびモビリティ管理MMのうちの少なくとも1つを備える請求項1乃至18のいずれか一項に記載の管理システム。
  20. 前記第1のサブモジュールがAURFであり、前記第2のサブモジュールがAUSFである請求項12乃至18のいずれか一項に記載の管理システム。
  21. 前記認証モジュールが、AU、フロントエンド、およびアクセス制御エージェントACAのうちの少なくとも1つを備える請求項1乃至18のいずれか一項に記載の管理システム。
  22. サイバーセキュリティ管理システムであって、前記管理システムが、少なくとも2つのネットワークスライスを備えるネットワークのセキュリティ管理において認証モジュール選択を実施するように構成され、前記システムが、ユーザ機器UEと、ネットワーク機能選択モジュールと、少なくとも2つの認証モジュールとを備え、
    前記UEが第1のサービス要求を前記ネットワーク機能選択モジュールに送信するように構成され、前記第1のサービス要求が認証プロトコル情報を搬送し、
    前記ネットワーク機能選択モジュールが、前記認証プロトコル情報に基づいて前記少なくとも2つの認証モジュールから標的認証モジュールを選択し、第2のサービス要求を前記標的認証モジュールに送信するように構成され、
    前記標的認証モジュールが、前記第2のサービス要求を受信し、前記UEとの相互認証を実行するように構成される、サイバーセキュリティ管理システム。
  23. 前記認証プロトコル情報が、前記UEによって選択される第1の認証プロトコルの識別子を備え、
    前記ネットワーク機能選択モジュールが特に、
    前記第1の認証プロトコルの前記識別子に基づいて、前記少なくとも2つの認証モジュールから前記第1の認証プロトコルをサポートする前記標的認証モジュールを選択する
    ように構成される請求項22に記載の管理システム。
  24. 1つより多くの認証モジュールが前記第1の認証プロトコルをサポートする場合、前記ネットワーク機能選択モジュールが特に、
    前記第1の認証プロトコルをサポートする各認証モジュールの負荷状態に基づいて、最も負荷の小さい認証モジュールを前記認証モジュールから前記標的認証モジュールとして選択する
    ように構成される請求項23に記載の管理システム。
  25. 前記認証プロトコル情報が、前記UEによって選択される第1の認証プロトコルの識別子を備え、
    前記第1のサービス要求がさらに、前記指定されたネットワークスライスの識別子を搬送し、
    前記ネットワーク機能選択モジュールが特に、
    前記第1の認証プロトコルの前記識別子および前記指定されたネットワークスライスの前記識別子に基づいて、前記少なくとも2つの認証モジュールから前記第1の認証プロトコルおよび前記指定されたネットワークスライスをサポートする前記標的認証モジュールを選択する
    ように構成される請求項22に記載の管理システム。
  26. 1つより多くの認証モジュールが前記第1の認証プロトコルおよび前記指定されたネットワークスライスをサポートする場合、前記ネットワーク機能選択モジュールが特に、
    前記第1の認証プロトコルおよび前記指定されたネットワークスライスをサポートする各認証モジュールの負荷状態に基づいて、最も負荷の小さい認証モジュールを前記認証モジュールから前記標的認証モジュールとして選択する
    ように構成される請求項25に記載の管理システム。
  27. 前記認証プロトコル情報が、前記UEによってサポートされる少なくとも2つの第2の認証プロトコルの識別子を備え、
    前記ネットワーク機能選択モジュールが特に、
    前記第2の認証プロトコルの前記識別子に基づいて、前記第2の認証プロトコルのうちの少なくとも1つをサポートする被選択候補の認証モジュールを、前記少なくとも2つの認証モジュールから前記標的認証モジュールとして選択する
    ように構成される請求項22に記載の管理システム。
  28. 前記認証プロトコル情報が、前記UEによってサポートされる少なくとも2つの第2の認証プロトコルの識別子を備え、
    前記第1のサービス要求がさらに、前記指定されたネットワークスライスの識別子を搬送し、
    前記ネットワーク機能選択モジュールが特に、
    前記第2の認証プロトコルの前記識別子に基づいて、前記第2の認証プロトコルのうちの少なくとも1つをサポートし前記指定されたネットワークスライスをサポートする被選択候補の認証モジュールを、前記少なくとも2つの認証モジュールから前記標的認証モジュールとして選択する
    ように構成される請求項22に記載の管理システム。
  29. 前記認証プロトコル情報が、前記UEによってサポートされる少なくとも2つの第2の認証プロトコルの識別子を備え、
    前記ネットワーク機能選択モジュールが特に、
    前記ネットワークにおいて設定される認証プロトコル選択優先順位に基づいて、前記UEによってサポートされる前記第2の認証プロトコルから最高の選択優先順位を有する認証プロトコルを決定し、前記最高の選択優先順位を有する前記認証プロトコルをサポートする被選択候補の認証モジュールを前記少なくとも2つの認証モジュールから前記標的認証モジュールとして選択する
    ように構成される請求項22に記載の管理システム。
  30. 1つより多くの被選択候補の認証モジュールがある場合、前記ネットワーク機能選択モジュールが特に、
    前記1つより多くの被選択候補の認証モジュールの各々の負荷状態に基づいて、最も負荷の小さい認証モジュールを前記認証モジュールから前記標的認証モジュールとして選択する
    ように構成される請求項27乃至29のいずれか一項に記載の管理システム。
  31. 前記認証プロトコル情報が、前記UEによってサポートされる少なくとも2つの第3の認証プロトコルの識別子と、前記少なくとも2つの第3の認証プロトコルの各々の選択優先順位とを備え、
    前記ネットワーク機能選択モジュールが特に、
    前記第3の認証プロトコルの前記識別子に基づいて、前記少なくとも2つの認証モジュールから前記第3の認証プロトコルのうちの少なくとも1つをサポートする被選択候補の認証モジュールを選択し、
    1つより多くの被選択候補の認証モジュールがある場合、各々の第3の認証プロトコルの前記選択優先順位に基づいて、最高の選択優先順位を有する第4の認証プロトコルをサポートする認証モジュールをすべての被選択候補の認証モジュールから前記標的認証モジュールとして選択する
    ように構成される請求項22に記載の管理システム。
  32. 前記認証プロトコル情報が、前記UEによってサポートされる少なくとも2つの第3の認証プロトコルの識別子と、前記少なくとも2つの第3の認証プロトコルの各々の選択優先順位とを備え、
    前記第1のサービス要求がさらに、前記指定されたネットワークスライスの識別子を搬送し、
    前記ネットワーク機能選択モジュールが特に、
    前記第3の認証プロトコルの前記識別子に基づいて、前記少なくとも2つの認証モジュールから前記第3の認証プロトコルのうちの少なくとも1つをサポートする第1の認証モジュールを選択し、
    1つより多くの第1の認証モジュールがある場合、各々の第3の認証プロトコルの前記選択優先順位に基づいて、最高の優先順位を有する第4の認証プロトコルをサポートする第2の認証モジュールをすべての第1の認証モジュールから選択し、
    1つより多くの第2の認証モジュールがある場合、各々の第2の認証モジュールの負荷状態または各々の第2の認証モジュールによってサービスされるネットワークスライスについての情報に基づいて、前記指定されたネットワークスライスにサービスする、最も負荷の小さい認証モジュールを、前記第2の認証モジュールから前記標的認証モジュールとして選択する
    ように構成される請求項22に記載の管理システム。
  33. 前記ネットワーク機能選択モジュールが、第1のサブモジュールおよび第2のサブモジュールを備え、
    前記第1のサブモジュールが、前記UEによって送信される前記第1のサービス要求を受信し、認証モジュール選択要求を前記第2のサブモジュールに送信するように構成され、前記認証モジュール選択要求が前記認証プロトコル情報を搬送し、
    前記第2のサブモジュールが、前記認証プロトコル情報に基づいて前記少なくとも2つの認証モジュールから前記標的認証モジュールを選択し、前記標的認証モジュールの識別子を前記第1のサブモジュールに送信するように構成され、
    前記第1のサブモジュールがさらに、前記標的認証モジュールの前記識別子に対応する前記標的認証モジュールに前記第2のサービス要求を送信するように構成される請求項22に記載の管理システム。
  34. 前記第2のサブモジュールが特に、請求項23乃至32のいずれか一項に記載の前記ネットワーク機能選択モジュールによって実行される実装形態を実行するように構成される請求項33に記載の管理システム。
  35. 前記ネットワーク機能選択モジュールが、認証ユニットAU選択機能AUSF、AUルーティング機能AURF、スライス選択機能SSF、およびモビリティ管理MMのうちの少なくとも1つを備える請求項22乃至34のいずれか一項に記載の管理システム。
  36. 前記第1のサブモジュールがAURFであり、前記第2のサブモジュールがAUSFである請求項33または34に記載の管理システム。
  37. 前記認証モジュールが、AU、フロントエンド、およびアクセス制御エージェントACAのうちの少なくとも1つを備える請求項22乃至34のいずれか一項に記載の管理システム。
  38. サイバーセキュリティ管理システムであって、前記管理システムが、少なくとも2つのネットワークスライスを備えるネットワークのセキュリティ管理においてセキュリティ構成管理を実施するように構成され、前記システムが、ユーザ機器UEと、アクセスネットワークANと、セキュリティポリシーコントローラと、認証モジュールとを備え、
    前記セキュリティポリシーコントローラが、ネットワークスライスセキュリティポリシーを前記ANまたは前記認証モジュールに配信するように構成され、
    前記UEが第1のサービス要求を前記ANに送信するように構成され、前記第1のサービス要求が、前記UEがアタッチされるべき指定されたネットワークスライスの識別子を搬送し、
    前記ANが第2のサービス要求を前記認証モジュールに送信するように構成され、前記第2のサービス要求が、前記UEがアタッチされるべき前記指定されたネットワークスライスの前記識別子を搬送し、
    前記認証モジュールが、前記第2のサービス要求を受信し、前記UEとの相互認証を実行するように構成され、
    前記認証モジュールがさらに、前記指定されたネットワークスライスの指定されたセキュリティポリシーに従って第1のセキュリティ構成を決定し、第2のサービス要求応答を前記ANに送信するように構成され、前記第2のサービス要求応答が前記第1のセキュリティ構成を搬送し、
    前記ANがさらに、前記第1のセキュリティ構成または前記指定されたセキュリティポリシーに基づいて第2のセキュリティ構成を決定し、第1のサービス要求応答を前記UEに送信するように構成され、前記第1のサービス要求応答が前記第2のセキュリティ構成を搬送する、サイバーセキュリティ管理システム。
  39. 前記セキュリティポリシーコントローラが、前記ネットワークスライスセキュリティポリシーを前記認証モジュールに配信するように構成され、
    前記第2のサービス要求がさらに、前記UEのセキュリティ能力および前記ANのセキュリティ能力を搬送し、
    前記認証モジュールがさらに、
    前記指定されたネットワークスライスに対応する前記指定されたセキュリティポリシーにおいて指定される鍵長を決定して、前記鍵長に対応する鍵を生成し、
    前記UEの前記セキュリティ能力、前記ANの前記セキュリティ能力、および前記指定されたセキュリティポリシーに基づいて、標的暗号化アルゴリズムまたは標的完全性保護アルゴリズムを選択し、
    前記鍵、および前記標的暗号化アルゴリズムの識別子または前記標的完全性保護アルゴリズムの識別子を使用することによって前記第1のセキュリティ構成を生成して、前記第1のセキュリティ構成を前記第2のサービス要求応答に追加する
    ように構成され、
    前記ANが特に、
    前記第2のセキュリティ構成として、前記第1のセキュリティ構成において搬送される前記標的暗号化アルゴリズムの前記識別子または前記標的完全性保護アルゴリズムの前記識別子を決定して、前記第2のセキュリティ構成を前記第1のサービス要求応答に追加する
    ように構成される請求項38に記載の管理システム。
  40. 前記セキュリティポリシーコントローラが、前記ネットワークスライスセキュリティポリシーを前記認証モジュールおよび前記ANに配信するように構成され、
    前記第2のサービス要求がさらに、前記UEのセキュリティ能力を搬送し、
    前記認証モジュールがさらに、
    前記指定されたネットワークスライスの前記指定されたセキュリティポリシーにおいて指定される鍵長を決定し、前記鍵長に対応する鍵を生成し、前記鍵および前記指定されたネットワークスライスの前記識別子に基づいて前記第1のセキュリティ構成を生成し、前記第1のセキュリティ構成を前記第2のサービス要求応答に追加する
    ように構成され、
    前記ANが特に、
    前記指定されたネットワークスライスの前記識別子に基づいて前記指定されたセキュリティポリシーを決定し、前記ANのセキュリティ能力、前記UEの前記セキュリティ能力、および前記指定されたセキュリティポリシーに基づいて、標的暗号化アルゴリズムまたは標的完全性保護アルゴリズムを選択し、
    前記第2のセキュリティ構成を取得するために、前記標的暗号化アルゴリズムの識別子または前記標的完全性保護アルゴリズムの識別子を前記第1のセキュリティ構成に追加する
    ように構成される請求項38に記載の管理システム。
  41. 前記セキュリティポリシーコントローラが、前記ネットワークスライスセキュリティポリシーを前記認証モジュールに配信するように構成され、
    前記第2のサービス要求がさらに、前記UEのセキュリティ能力および前記ANのセキュリティ能力を搬送し、
    前記認証モジュールがさらに、
    前記UEの前記セキュリティ能力、前記ANの前記セキュリティ能力、および前記指定されたセキュリティポリシーに基づいて、標的暗号化アルゴリズムまたは標的完全性保護アルゴリズムを選択し、
    前記鍵、および前記標的暗号化アルゴリズムの識別子または前記標的完全性保護アルゴリズムの識別子を使用することによって前記第1のセキュリティ構成を生成して、前記第1のセキュリティ構成を前記第2のサービス要求応答に追加する
    ように構成され、
    前記ANが特に、
    前記第2のセキュリティ構成として、前記第1のセキュリティ構成において搬送される前記標的暗号化アルゴリズムの前記識別子または前記標的完全性保護アルゴリズムの前記識別子を決定して、前記第2のセキュリティ構成を前記第1のサービス要求応答に追加する
    ように構成される請求項38に記載の管理システム。
  42. 前記標的暗号化アルゴリズムが、前記UEと前記ANの両方によってサポートされる暗号化アルゴリズムの中で最高の選択優先順位を有する暗号化アルゴリズムであり、
    前記標的完全性保護アルゴリズムが、前記UEと前記ANの両方によってサポートされる完全性保護アルゴリズムの中で最高の選択優先順位を有する完全性保護アルゴリズムである請求項39乃至41のいずれか一項に記載の管理システム。
  43. 前記認証モジュールが、AU、フロントエンド、およびアクセス制御エージェントACAのうちの少なくとも1つを備える請求項38乃至42のいずれか一項に記載の管理システム。
  44. ネットワーク機能選択モジュールによって、ユーザ機器UEによって送信される第1のサービス要求を受信するステップであって、前記第1のサービス要求が認証プロトコル情報を搬送する、ステップと、
    前記認証プロトコル情報に基づいて前記ネットワーク機能選択モジュールによって、ネットワークに備えられる少なくとも2つの認証モジュールから標的認証モジュールを選択するステップと、
    前記ネットワーク機能選択モジュールによって、第2のサービス要求を前記標的認証モジュールに送信するステップと
    を備える、サイバーセキュリティ管理方法。
  45. 前記認証プロトコル情報が、前記UEによって選択される第1の認証プロトコルの識別子を備え、
    前記認証プロトコル情報に基づいて前記ネットワーク機能選択モジュールによって、ネットワークに備えられる少なくとも2つの認証モジュールから標的認証モジュールを選択する前記ステップが、
    前記ネットワーク機能選択モジュールによって、前記第1の認証プロトコルの前記識別子に基づいて、前記少なくとも2つの認証モジュールから前記第1の認証プロトコルをサポートする前記標的認証モジュールを選択するステップを備える請求項44に記載の管理方法。
  46. 1つより多くの認証モジュールが前記第1の認証プロトコルをサポートする場合、
    前記第1の認証プロトコルをサポートする各認証モジュールの負荷状態に基づいて、最も負荷の小さい認証モジュールを前記認証モジュールから前記標的認証モジュールとして選択するステップをさらに備える請求項45に記載の管理方法。
  47. 前記認証プロトコル情報が、前記UEによって選択される第1の認証プロトコルの識別子を備え、
    前記第1のサービス要求がさらに、前記指定されたネットワークスライスの識別子を搬送し、
    前記認証プロトコル情報に基づいて前記ネットワーク機能選択モジュールによって、ネットワークに備えられる少なくとも2つの認証モジュールから標的認証モジュールを選択する前記ステップが、
    前記ネットワーク機能選択モジュールによって、前記第1の認証プロトコルの前記識別子および前記指定されたネットワークスライスの前記識別子に基づいて、前記少なくとも2つの認証モジュールから前記第1の認証プロトコルおよび前記指定されたネットワークスライスをサポートする前記標的認証モジュールを選択するステップを備える請求項44に記載の管理方法。
  48. 1つより多くの認証モジュールが前記第1の認証プロトコルおよび前記指定されたネットワークスライスをサポートする場合、
    前記第1の認証プロトコルおよび前記指定されたネットワークスライスをサポートする各認証モジュールの負荷状態に基づいて、最も負荷の小さい認証モジュールを前記認証モジュールから前記標的認証モジュールとして選択するステップをさらに備える請求項47に記載の管理方法。
  49. 前記認証プロトコル情報が、前記UEによってサポートされる少なくとも2つの第2の認証プロトコルの識別子を備え、
    前記認証プロトコル情報に基づいて前記ネットワーク機能選択モジュールによって、ネットワークに備えられる少なくとも2つの認証モジュールから標的認証モジュールを選択する前記ステップが、
    前記ネットワーク機能選択モジュールによって、前記第2の認証プロトコルの前記識別子に基づいて、前記少なくとも2つの認証モジュールから前記第2の認証プロトコルのうちの少なくとも1つをサポートする被選択候補の認証モジュールを、前記標的認証モジュールとして選択するステップを備える請求項44に記載の管理方法。
  50. 前記認証プロトコル情報が、前記UEによってサポートされる少なくとも2つの第2の認証プロトコルの識別子を備え、
    前記第1のサービス要求がさらに、前記指定されたネットワークスライスの識別子を搬送し、
    前記認証プロトコル情報に基づいて前記ネットワーク機能選択モジュールによって、ネットワークに備えられる少なくとも2つの認証モジュールから標的認証モジュールを選択する前記ステップが、
    前記ネットワーク機能選択モジュールによって、前記第2の認証プロトコルの前記識別子に基づいて、前記少なくとも2つの認証モジュールから前記第2の認証プロトコルのうちの少なくとも1つをサポートし前記指定されたネットワークスライスをサポートする被選択候補の認証モジュールを、前記標的認証モジュールとして選択するステップを備える請求項44に記載の管理方法。
  51. 前記認証プロトコル情報が、前記UEによってサポートされる少なくとも2つの第2の認証プロトコルの識別子を備え、
    前記認証プロトコル情報に基づいて前記ネットワーク機能選択モジュールによって、ネットワークに備えられる少なくとも2つの認証モジュールから標的認証モジュールを選択する前記ステップが、
    前記ネットワーク機能選択モジュールによって、前記ネットワークにおいて設定される認証プロトコル選択優先順位に基づいて、前記UEによってサポートされる前記第2の認証プロトコルから最高の選択優先順位を有する認証プロトコルを決定し、前記最高の選択優先順位を有する前記認証プロトコルをサポートする被選択候補の認証モジュールを前記少なくとも2つの認証モジュールから前記標的認証モジュールとして選択するステップを備える請求項44に記載の管理方法。
  52. 1つより多くの被選択候補の認証モジュールがある場合、
    前記1つより多くの被選択候補の認証モジュールの各々の負荷状態に基づいて、最も負荷の小さい認証モジュールを前記認証モジュールから前記標的認証モジュールとして選択するステップをさらに備える請求項49乃至51のいずれか一項に記載の管理方法。
  53. 前記認証プロトコル情報が、前記UEによってサポートされる少なくとも2つの第3の認証プロトコルの識別子と、前記少なくとも2つの第3の認証プロトコルの各々の選択優先順位とを備え、
    前記認証プロトコル情報に基づいて前記ネットワーク機能選択モジュールによって、ネットワークに備えられる少なくとも2つの認証モジュールから標的認証モジュールを選択する前記ステップが、
    前記ネットワーク機能選択モジュールによって、前記第3の認証プロトコルの前記識別子に基づいて、前記少なくとも2つの認証モジュールから前記第3の認証プロトコルのうちの少なくとも1つをサポートする被選択候補の認証モジュールを選択するステップと、
    1つより多くの被選択候補の認証モジュールがある場合、各々の第3の認証プロトコルの前記選択優先順位に基づいて、最高の選択優先順位を有する第4の認証プロトコルをサポートする認証モジュールをすべての被選択候補の認証モジュールから前記標的認証モジュールとして選択するステップとを備える請求項44に記載の管理方法。
  54. 前記認証プロトコル情報が、前記UEによってサポートされる少なくとも2つの第3の認証プロトコルの識別子と、前記少なくとも2つの第3の認証プロトコルの各々の選択優先順位とを備え、
    前記第1のサービス要求がさらに、前記指定されたネットワークスライスの識別子を搬送し、
    前記認証プロトコル情報に基づいて前記ネットワーク機能選択モジュールによって、ネットワークに備えられる少なくとも2つの認証モジュールから標的認証モジュールを選択する前記ステップが、
    前記ネットワーク機能選択モジュールによって、前記第3の認証プロトコルの前記識別子に基づいて、前記少なくとも2つの認証モジュールから前記第3の認証プロトコルのうちの少なくとも1つをサポートする第1の認証モジュールを選択するステップと、
    1つより多くの第1の認証モジュールがある場合、各々の第3の認証プロトコルの前記選択優先順位に基づいて、最高の優先順位を有する第4の認証プロトコルをサポートする第2の認証モジュールをすべての第1の認証モジュールから選択するステップと、
    1つより多くの第2の認証モジュールがある場合、各々の第2の認証モジュールの負荷状態または各々の第2の認証モジュールによってサービスされるネットワークスライスについての情報に基づいて、前記指定されたネットワークスライスにサービスする、最も負荷の小さい認証モジュールを、前記第2の認証モジュールから前記標的認証モジュールとして選択するステップと
    を備える請求項44に記載の管理方法。
  55. 前記ネットワーク機能選択モジュールが、認証ユニットAU選択機能AUSF、AUルーティング機能AURF、スライス選択機能SSF、およびモビリティ管理MMのうちの少なくとも1つを備える請求項44乃至54のいずれか一項に記載の管理方法。
  56. 第2のネットワーク機能選択モジュールによって、第1のネットワーク機能選択モジュールによって送信される認証モジュール選択要求を受信するステップであって、前記認証モジュール選択要求がユーザ機器UEによって送信される認証プロトコル情報を搬送する、ステップと、
    前記認証プロトコル情報に基づいて前記第2のネットワーク機能選択モジュールによって、ネットワークに備えられる少なくとも2つの認証モジュールから標的認証モジュールを選択するステップと、
    前記第1のネットワーク機能選択モジュールを使用することによってサービス要求を前記標的認証モジュールに送信するために、前記第2のネットワーク機能選択モジュールによって、前記標的認証モジュールの識別子を前記第1のネットワーク機能選択モジュールに送信するステップと
    を備える、サイバーセキュリティ管理方法。
  57. 認証モジュールによって、セキュリティポリシーコントローラによって配信されるネットワークスライスセキュリティポリシーを受信するステップと、
    前記認証モジュールによって、アクセスネットワークANによって送信されるサービス要求を受信するステップであって、前記サービス要求が、前記UEがアタッチされるべき指定されたネットワークスライスの識別子を搬送する、ステップと、
    前記指定されたネットワークスライスの前記識別子に基づく前記指定されたネットワークスライスの指定されたセキュリティポリシーのために、前記認証モジュールによって、前記セキュリティポリシーコントローラによって配信される前記ネットワークスライスセキュリティポリシーを探して、前記指定されたセキュリティポリシーに従ってセキュリティ構成を決定するステップと、
    前記認証モジュールによって、サービス要求応答を前記ANに送信するステップであって、前記サービス要求応答が前記セキュリティ構成を搬送する、ステップと
    を備える、サイバーセキュリティ管理方法。
  58. 前記指定されたセキュリティポリシーが、鍵情報、および暗号化アルゴリズム情報または完全性保護アルゴリズム情報を備え、
    前記サービス要求がさらに、前記ユーザ機器UEのセキュリティ能力を搬送し、
    前記指定されたセキュリティポリシーに従ってセキュリティ構成を決定する前記ステップが、
    前記指定されたネットワークスライスの前記指定されたセキュリティポリシーにおいて指定される鍵長を決定して、前記鍵長に対応する鍵を生成するステップと、
    前記UEの前記セキュリティ能力、前記ANのセキュリティ能力、ならびに前記指定されたセキュリティポリシーに備えられる前記暗号化アルゴリズム情報および前記完全性保護アルゴリズム情報に基づいて、標的暗号化アルゴリズムまたは標的完全性保護アルゴリズムを選択するステップと、
    前記鍵、および前記標的暗号化アルゴリズムの識別子または前記標的完全性保護アルゴリズムの識別子に基づいて前記セキュリティ構成を生成して、前記セキュリティ構成を前記第2のサービス要求応答に追加するステップと
    を備える請求項57に記載の管理方法。
  59. 前記指定されたセキュリティポリシーが鍵情報を備え、
    前記指定されたセキュリティポリシーに従ってセキュリティ構成を決定する前記ステップが、
    前記指定されたネットワークスライスの前記指定されたセキュリティポリシーにおいて指定される鍵長を決定し、前記鍵長に対応する鍵を生成し、前記鍵および前記指定されたネットワークスライスの前記識別子に基づいて前記セキュリティ構成を生成し、前記セキュリティ構成を前記第2のサービス要求応答に追加するステップを備える請求項57に記載の管理方法。
  60. 前記指定されたセキュリティポリシーが、暗号化アルゴリズム情報または完全性保護アルゴリズム情報を備え、
    前記サービス要求がさらに、前記ユーザ機器UEのセキュリティ能力を搬送し、
    前記指定されたセキュリティポリシーに従ってセキュリティ構成を決定する前記ステップが、
    前記UEの前記セキュリティ能力、前記ANのセキュリティ能力、ならびに前記指定されたセキュリティポリシーに備えられる前記暗号化アルゴリズム情報および前記完全性保護アルゴリズム情報に基づいて、標的暗号化アルゴリズムまたは標的完全性保護アルゴリズムを選択するステップと、
    前記標的暗号化アルゴリズムの識別子または前記標的完全性保護アルゴリズムの識別子に基づいて前記セキュリティ構成を生成して、前記セキュリティ構成を前記第2のサービス要求応答に追加するステップと
    を備える請求項57に記載の管理方法。
  61. 前記指定されたセキュリティポリシーに備えられる前記暗号化アルゴリズム情報が暗号化アルゴリズム選択優先順位であり、前記完全性保護アルゴリズム情報が完全性保護アルゴリズム選択優先順位であり、
    前記標的暗号化アルゴリズムが、前記UEと前記ANの両方によってサポートされる暗号化アルゴリズムの中で最高の選択優先順位を有する暗号化アルゴリズムであり、
    前記標的完全性保護アルゴリズムが、前記UEと前記ANの両方によってサポートされる完全性保護アルゴリズムの中で最高の選択優先順位を有する完全性保護アルゴリズムである請求項58乃至60のいずれか一項に記載の管理方法。
  62. 前記認証モジュールが、認証ユニットAU、フロントエンド、およびアクセス制御エージェントACAのうちの少なくとも1つを備える請求項57乃至61のいずれか一項に記載の管理方法。
  63. アクセスネットワークANによって、ユーザ機器UEによって送信される第1のサービス要求を受信するステップであって、前記第1のサービス要求が、前記UEのセキュリティ能力と、前記UEがアタッチされるべき指定されたネットワークスライスの識別子とを搬送する、ステップと、
    前記ANによって、第2のサービス要求を認証モジュールに送信するステップであって、前記第2のサービス要求が、前記UEがアタッチされるべき前記指定されたネットワークスライスの前記識別子と、前記ANのセキュリティ能力と、前記UEの前記セキュリティ能力とを搬送する、ステップと、
    前記ANによって、前記認証モジュールによって送信される第2のサービス要求応答を受信するステップであって、前記第2のサービス要求応答が、前記指定されたネットワークスライスの前記識別子、前記ANの前記セキュリティ能力、および前記UEの前記セキュリティ能力に基づいて前記認証モジュールによって決定される第1のセキュリティ構成を搬送する、ステップと、
    前記ANによって、前記第1のセキュリティ構成に基づいて第2のセキュリティ構成を決定し、第1のサービス要求応答を前記UEに送信するステップであって、前記第1のサービス要求応答が前記第2のセキュリティ構成を搬送する、ステップと
    を備える、サイバーセキュリティ管理方法。
  64. 前記第1のセキュリティ構成が、鍵、および暗号化アルゴリズムの識別子または完全性保護アルゴリズムの識別子を備え、
    前記ANによって、前記第1のセキュリティ構成に基づいて第2のセキュリティ構成を決定する前記ステップが、
    前記ANによって前記鍵を記憶し、前記暗号化アルゴリズムの前記識別子および前記完全性保護アルゴリズムの前記識別子を前記第1のセキュリティ構成から取得し、前記暗号化アルゴリズムの前記識別子および前記完全性保護アルゴリズムの前記識別子に基づいて前記第2のセキュリティ構成を生成するステップを備える請求項63に記載の管理方法。
  65. アクセスネットワークANによって、ユーザ機器UEによって送信される第1のサービス要求を受信するステップであって、前記第1のサービス要求が、前記UEのセキュリティ能力と、前記UEがアタッチされるべき指定されたネットワークスライスの識別子とを搬送する、ステップと、
    前記ANによって、第2のサービス要求を認証モジュールに送信するステップであって、前記第2のサービス要求が、前記UEがアタッチされるべき前記指定されたネットワークスライスの前記識別子を搬送する、ステップと、
    前記ANによって、前記認証モジュールによって送信される第2のサービス要求応答を受信するステップと、
    前記ANによって、前記UEの前記セキュリティ能力および前記指定されたネットワークスライスの前記識別子に対応する指定されたセキュリティポリシーに基づいて第2のセキュリティ構成を決定し、第1のサービス要求応答を前記UEに送信するステップであって、前記第1のサービス要求応答が前記第2のセキュリティ構成を搬送する、ステップと
    を備える、サイバーセキュリティ管理方法。
  66. 前記ANによって、前記UEの前記セキュリティ能力および前記指定されたネットワークスライスの前記識別子に対応する指定されたセキュリティポリシーに基づいて第2のセキュリティ構成を決定する前記ステップが、
    前記ANによって、前記指定されたネットワークスライスの前記識別子に基づいて前記指定されたセキュリティポリシーを決定するステップと、
    前記ANのセキュリティ能力、前記UEの前記セキュリティ能力、および前記指定されたセキュリティポリシーに基づいて標的暗号化アルゴリズムまたは標的完全性保護アルゴリズムを選択し、前記標的暗号化アルゴリズムの識別子または前記標的完全性保護アルゴリズムの識別子に基づいて前記第2のセキュリティ構成を生成するステップと
    を備える請求項65に記載の管理方法。
  67. 前記指定されたセキュリティポリシーに備えられる暗号化アルゴリズム情報が暗号化アルゴリズム選択優先順位であり、前記完全性保護アルゴリズム情報が完全性保護アルゴリズム選択優先順位であり、
    前記標的暗号化アルゴリズムが、前記UEと前記ANの両方によってサポートされる暗号化アルゴリズムの中で最高の選択優先順位を有する暗号化アルゴリズムであり、
    前記標的完全性保護アルゴリズムが、前記UEと前記ANの両方によってサポートされる完全性保護アルゴリズムの中で最高の選択優先順位を有する完全性保護アルゴリズムである請求項66に記載の管理方法。
  68. ユーザ機器UEによって送信される第1のサービス要求を受信するように構成される受信ユニットであって、前記第1のサービス要求が認証プロトコル情報を搬送する、受信ユニットと、
    前記受信ユニットによって受信される前記認証プロトコル情報に基づいて、ネットワークに備えられる少なくとも2つの認証モジュールから標的認証モジュールを選択するように構成される選択ユニットと、
    前記選択ユニットによって選択される前記標的認証モジュールに第2のサービス要求を送信するように構成される送信ユニットと
    を備える、サイバーセキュリティ管理装置。
  69. 前記認証プロトコル情報が、前記UEによって選択される第1の認証プロトコルの識別子を備え、
    前記選択ユニットが特に、
    前記第1の認証プロトコルの前記識別子に基づいて、前記少なくとも2つの認証モジュールから前記第1の認証プロトコルをサポートする前記標的認証モジュールを選択する
    ように構成される請求項68に記載の管理装置。
  70. 1つより多くの認証モジュールが前記第1の認証プロトコルをサポートする場合、
    前記選択ユニットが特に、
    前記第1の認証プロトコルをサポートする各認証モジュールの負荷状態に基づいて、最も負荷の小さい認証モジュールを前記認証モジュールから前記標的認証モジュールとして選択する
    ように構成される請求項69に記載の管理装置。
  71. 前記認証プロトコル情報が、前記UEによって選択される第1の認証プロトコルの識別子を備え、
    前記第1のサービス要求がさらに、前記指定されたネットワークスライスの識別子を搬送し、
    前記選択ユニットが特に、
    前記第1の認証プロトコルの前記識別子および前記指定されたネットワークスライスの前記識別子に基づいて、前記少なくとも2つの認証モジュールから前記第1の認証プロトコルおよび前記指定されたネットワークスライスをサポートする前記標的認証モジュールを選択する
    ように構成される請求項68に記載の管理装置。
  72. 1つより多くの認証モジュールが前記第1の認証プロトコルおよび前記指定されたネットワークスライスをサポートする場合、前記選択ユニットが特に、
    前記第1の認証プロトコルおよび前記指定されたネットワークスライスをサポートする各認証モジュールの負荷状態に基づいて、最も負荷の小さい認証モジュールを前記認証モジュールから前記標的認証モジュールとして選択する
    ように構成される請求項71に記載の管理装置。
  73. 前記認証プロトコル情報が、前記UEによってサポートされる少なくとも2つの第2の認証プロトコルの識別子を備え、
    前記選択ユニットが特に、
    前記第2の認証プロトコルの前記識別子に基づいて、前記第2の認証プロトコルのうちの少なくとも1つをサポートする被選択候補の認証モジュールを、前記少なくとも2つの認証モジュールから前記標的認証モジュールとして選択する
    ように構成される請求項68に記載の管理装置。
  74. 前記認証プロトコル情報が、前記UEによってサポートされる少なくとも2つの第2の認証プロトコルの識別子を備え、
    前記第1のサービス要求がさらに、前記指定されたネットワークスライスの識別子を搬送し、
    前記選択ユニットが特に、
    前記第2の認証プロトコルの前記識別子に基づいて、前記第2の認証プロトコルのうちの少なくとも1つをサポートし前記指定されたネットワークスライスをサポートする被選択候補の認証モジュールを、前記少なくとも2つの認証モジュールから前記標的認証モジュールとして選択する
    ように構成される請求項68に記載の管理装置。
  75. 前記認証プロトコル情報が、前記UEによってサポートされる少なくとも2つの第2の認証プロトコルの識別子を備え、
    前記選択ユニットが特に、
    前記ネットワークにおいて設定される認証プロトコル選択優先順位に基づいて、前記UEによってサポートされる前記第2の認証プロトコルから最高の選択優先順位を有する認証プロトコルを決定し、前記最高の選択優先順位を有する前記認証プロトコルをサポートする被選択候補の認証モジュールを前記少なくとも2つの認証モジュールから前記標的認証モジュールとして選択する
    ように構成される請求項68に記載の管理装置。
  76. 1つより多くの被選択候補の認証モジュールがある場合、前記選択ユニットが特に、
    前記1つより多くの被選択候補の認証モジュールの各々の負荷状態に基づいて、最も負荷の小さい認証モジュールを前記認証モジュールから前記標的認証モジュールとして選択する
    ように構成される請求項73乃至75のいずれか一項に記載の管理装置。
  77. 前記認証プロトコル情報が、前記UEによってサポートされる少なくとも2つの第3の認証プロトコルの識別子と、前記少なくとも2つの第3の認証プロトコルの各々の選択優先順位とを備え、
    前記選択ユニットが特に、
    前記第3の認証プロトコルの前記識別子に基づいて、前記少なくとも2つの認証モジュールから前記第3の認証プロトコルのうちの少なくとも1つをサポートする被選択候補の認証モジュールを選択し、
    1つより多くの被選択候補の認証モジュールがある場合、各々の第3の認証プロトコルの前記選択優先順位に基づいて、最高の選択優先順位を有する第4の認証プロトコルをサポートする認証モジュールをすべての被選択候補の認証モジュールから前記標的認証モジュールとして選択する
    ように構成される請求項68に記載の管理装置。
  78. 前記認証プロトコル情報が、前記UEによってサポートされる少なくとも2つの第3の認証プロトコルの識別子と、前記少なくとも2つの第3の認証プロトコルの各々の選択優先順位とを備え、
    前記第1のサービス要求がさらに、前記指定されたネットワークスライスの識別子を搬送し、
    前記選択ユニットが特に、
    前記第3の認証プロトコルの前記識別子に基づいて、前記少なくとも2つの認証モジュールから前記第3の認証プロトコルのうちの少なくとも1つをサポートする第1の認証モジュールを選択し、
    1つより多くの第1の認証モジュールがある場合、各々の第3の認証プロトコルの前記選択優先順位に基づいて、最高の優先順位を有する第4の認証プロトコルをサポートする第2の認証モジュールをすべての第1の認証モジュールから選択し、
    1つより多くの第2の認証モジュールがある場合、各々の第2の認証モジュールの負荷状態または各々の第2の認証モジュールによってサービスされるネットワークスライスについての情報に基づいて、前記指定されたネットワークスライスにサービスする、最も負荷の小さい認証モジュールを、前記第2の認証モジュールから前記標的認証モジュールとして選択する
    ように構成される請求項68に記載の管理装置。
  79. 前記選択ユニットが、第1のサブユニットおよび第2のサブユニットを備え、
    前記第1のサブユニットが、前記UEによって送信される前記第1のサービス要求を受信し、認証モジュール選択要求を前記第2のサブユニットに送信するように構成され、前記認証モジュール選択要求が前記認証プロトコル情報を搬送し、
    前記第2のサブユニットが、前記認証プロトコル情報に基づいて前記少なくとも2つの認証モジュールから前記標的認証モジュールを選択し、前記標的認証モジュールの識別子を前記第1のサブユニットに送信するように構成され、
    前記第1のサブユニットがさらに、前記標的認証モジュールの前記識別子に対応する前記標的認証モジュールに前記第2のサービス要求を送信するように構成される請求項68に記載の管理装置。
  80. 前記第2のサブユニットが特に、請求項69乃至78のいずれか一項に記載の前記選択ユニットによって実行される実装形態を実行するように構成される請求項79に記載の管理装置。
  81. 前記選択ユニットが、認証ユニットAU選択機能AUSF、AUルーティング機能AURF、スライス選択機能SSF、およびモビリティ管理MMのうちの少なくとも1つを備える請求項68乃至77のいずれか一項に記載の管理装置。
  82. 前記第1のサブユニットがAURFであり、前記第2のサブユニットがAUSFである請求項79または80に記載の管理装置。
  83. セキュリティポリシーコントローラによって配信されるネットワークスライスセキュリティポリシーを受信するように構成される受信ユニットであって、
    前記受信ユニットが、アクセスネットワークANによって送信されるサービス要求を受信するようにさらに構成され、前記サービス要求が、ユーザ機器UEのセキュリティ能力と、前記UEがアタッチされるべき指定されたネットワークスライスの識別子とを搬送する、受信ユニットと、
    前記受信ユニットによって受信される前記指定されたネットワークスライスの前記識別子に基づく前記指定されたネットワークスライスの指定されたセキュリティポリシーのために、前記セキュリティポリシーコントローラによって配信される前記ネットワークスライスセキュリティポリシーを探して、前記指定されたセキュリティポリシーに従ってセキュリティ構成を決定するように構成される実行ユニットと、
    サービス要求応答を前記ANに送信するように構成される送信ユニットであって、前記サービス要求応答が前記実行ユニットによって決定される前記セキュリティ構成を搬送する、送信ユニットと
    を備える、サイバーセキュリティ管理装置。
  84. 前記指定されたセキュリティポリシーが、鍵情報、および暗号化アルゴリズム情報または完全性保護アルゴリズム情報を備え、
    前記サービス要求がさらに、前記ユーザ機器UEの前記セキュリティ能力を搬送し、
    前記実行ユニットが特に、
    前記指定されたネットワークスライスの前記指定されたセキュリティポリシーにおいて指定される鍵長を決定して、前記鍵長に対応する鍵を生成し、
    前記UEの前記セキュリティ能力、前記ANのセキュリティ能力、および前記指定されたセキュリティポリシーに備えられる前記暗号化アルゴリズム情報または前記完全性保護アルゴリズム情報に基づいて、標的暗号化アルゴリズムまたは標的完全性保護アルゴリズムを選択し、
    前記鍵、および前記標的暗号化アルゴリズムの識別子または前記標的完全性保護アルゴリズムの識別子に基づいて前記セキュリティ構成を生成して、前記セキュリティ構成を前記第2のサービス要求応答に追加する
    ように構成される請求項83に記載の管理装置。
  85. 前記指定されたセキュリティポリシーが鍵情報を備え、
    前記実行ユニットが特に、
    前記指定されたネットワークスライスの前記指定されたセキュリティポリシーにおいて指定される鍵長を決定し、前記鍵長に対応する鍵を生成し、前記鍵および前記指定されたネットワークスライスの前記識別子に基づいて前記セキュリティ構成を生成し、前記セキュリティ構成を前記第2のサービス要求応答に追加する
    ように構成される請求項83に記載の管理装置。
  86. 前記指定されたセキュリティポリシーが、暗号化アルゴリズム情報または完全性保護アルゴリズム情報を備え、
    前記サービス要求がさらに、前記ユーザ機器UEの前記セキュリティ能力を搬送し、
    前記実行ユニットが特に、
    前記UEの前記セキュリティ能力、前記ANのセキュリティ能力、および前記指定されたセキュリティポリシーに備えられる前記暗号化アルゴリズム情報または前記完全性保護アルゴリズム情報に基づいて、標的暗号化アルゴリズムまたは標的完全性保護アルゴリズムを選択し、
    前記暗号化アルゴリズムの識別子または前記完全性保護アルゴリズムの識別子に基づいて前記セキュリティ構成を生成して、前記セキュリティ構成を前記第2のサービス要求応答に追加する
    ように構成される請求項83に記載の管理装置。
  87. 前記指定されたセキュリティポリシーに備えられる前記暗号化アルゴリズム情報が暗号化アルゴリズム選択優先順位であり、前記完全性保護アルゴリズム情報が完全性保護アルゴリズム選択優先順位であり、
    前記標的暗号化アルゴリズムが、前記UEと前記ANの両方によってサポートされる暗号化アルゴリズムの中で最高の選択優先順位を有する暗号化アルゴリズムであり、
    前記標的完全性保護アルゴリズムが、前記UEと前記ANの両方によってサポートされる完全性保護アルゴリズムの中で最高の選択優先順位を有する完全性保護アルゴリズムである請求項84乃至86のいずれか一項に記載の管理装置。
  88. 前記実行ユニットが、認証ユニットAU、フロントエンド、およびアクセス制御エージェントACAのうちの少なくとも1つを備える請求項83乃至87のいずれか一項に記載の管理装置。
  89. ユーザ機器UEによって送信される第1のサービス要求を受信するように構成される受信ユニットであって、前記第1のサービス要求が、前記UEのセキュリティ能力と、前記UEがアタッチされるべき指定されたネットワークスライスの識別子とを搬送する、受信ユニットと、
    前記受信ユニットによって受信される前記第1のサービス要求に基づいて第2のサービス要求を認証モジュールに送信するように構成される送信ユニットであって、前記第2のサービス要求が、前記UEがアタッチされるべき前記指定されたネットワークスライスの前記識別子と、前記ANのセキュリティ能力と、前記UEの前記セキュリティ能力とを搬送し、
    前記受信ユニットがさらに、前記認証モジュールによって送信される第2のサービス要求応答を受信するように構成され、前記第2のサービス要求応答が、前記指定されたネットワークスライスの前記識別子、前記ANの前記セキュリティ能力、および前記UEの前記セキュリティ能力に基づいて前記認証モジュールによって決定される第1のセキュリティ構成を搬送する、送信ユニットと、
    前記受信ユニットによって受信される前記第1のセキュリティ構成に基づいて第2のセキュリティ構成を決定するように構成される処理ユニットと
    を備え、
    前記送信ユニットがさらに、第1のサービス要求応答を前記UEに送信するように構成され、前記第1のサービス要求応答が前記処理ユニットによって決定される前記第2のセキュリティ構成を搬送する、サイバーセキュリティ管理装置。
  90. 前記第1のセキュリティ構成が、鍵、および暗号化アルゴリズムの識別子または完全性保護アルゴリズムの識別子を備え、
    前記処理ユニットが特に、
    前記鍵を記憶し、前記暗号化アルゴリズムの前記識別子または前記完全性保護アルゴリズムの前記識別子を前記第1のセキュリティ構成から取得し、前記暗号化アルゴリズムの前記識別子または前記完全性保護アルゴリズムの前記識別子に基づいて前記第2のセキュリティ構成を生成する
    ように構成される請求項89に記載の管理装置。
  91. ユーザ機器UEによって送信される第1のサービス要求を受信するように構成される受信ユニットであって、前記第1のサービス要求が、前記UEのセキュリティ能力と、前記UEがアタッチされるべき指定されたネットワークスライスの識別子とを搬送する、受信ユニットと、
    前記受信ユニットによって受信される前記第1のサービス要求に基づいて第2のサービス要求を認証モジュールに送信するように構成される送信ユニットであって、前記第2のサービス要求が、前記UEがアタッチされるべき前記指定されたネットワークスライスの前記識別子を搬送し、
    前記受信ユニットがさらに、前記認証モジュールによって送信される第2のサービス要求応答を受信するように構成される、送信ユニットと、
    前記受信ユニットによって受信される前記UEの前記セキュリティ能力および前記指定されたネットワークスライスの前記識別子に対応する指定されたセキュリティポリシーに基づいて第2のセキュリティ構成を決定するように構成される処理ユニットと
    を備え、
    前記送信ユニットがさらに、第1のサービス要求応答を前記UEに送信するように構成され、前記第1のサービス要求応答が前記処理ユニットによって決定される前記第2のセキュリティ構成を搬送する、サイバーセキュリティ管理装置。
  92. 前記処理ユニットが特に、
    前記指定されたネットワークスライスの前記識別子に基づいて前記指定されたセキュリティポリシーを決定し、
    前記ANのセキュリティ能力、前記UEの前記セキュリティ能力、および前記指定されたセキュリティポリシーに基づいて標的暗号化アルゴリズムまたは標的完全性保護アルゴリズムを選択し、前記標的暗号化アルゴリズムの識別子または前記標的完全性保護アルゴリズムの識別子に基づいて前記第2のセキュリティ構成を生成する
    ように構成される請求項91に記載の管理装置。
  93. 前記指定されたセキュリティポリシーに備えられる暗号化アルゴリズム情報が暗号化アルゴリズム選択優先順位であり、前記完全性保護アルゴリズム情報が完全性保護アルゴリズム選択優先順位であり、
    前記標的暗号化アルゴリズムが、前記UEと前記ANの両方によってサポートされる暗号化アルゴリズムの中で最高の選択優先順位を有する暗号化アルゴリズムであり、
    前記標的完全性保護アルゴリズムが、前記UEと前記ANの両方によってサポートされる完全性保護アルゴリズムの中で最高の選択優先順位を有する完全性保護アルゴリズムである請求項92に記載の管理装置。
JP2019500287A 2016-07-05 2017-03-23 サイバーセキュリティ管理システム、方法、および装置 Expired - Fee Related JP6737948B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
CN201610525502.5 2016-07-05
CN201610525502.5A CN107579948B (zh) 2016-07-05 2016-07-05 一种网络安全的管理系统、方法及装置
PCT/CN2017/077949 WO2018006626A1 (zh) 2016-07-05 2017-03-23 一种网络安全的管理系统、方法及装置

Publications (2)

Publication Number Publication Date
JP2019522428A true JP2019522428A (ja) 2019-08-08
JP6737948B2 JP6737948B2 (ja) 2020-08-12

Family

ID=60901770

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2019500287A Expired - Fee Related JP6737948B2 (ja) 2016-07-05 2017-03-23 サイバーセキュリティ管理システム、方法、および装置

Country Status (7)

Country Link
US (1) US10897712B2 (ja)
EP (1) EP3468137B1 (ja)
JP (1) JP6737948B2 (ja)
KR (1) KR102169767B1 (ja)
CN (1) CN107579948B (ja)
BR (1) BR112019000169A2 (ja)
WO (1) WO2018006626A1 (ja)

Families Citing this family (20)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107623668A (zh) 2016-07-16 2018-01-23 华为技术有限公司 一种网络认证方法、相关设备及系统
CN107666666B (zh) * 2016-07-27 2022-11-08 中兴通讯股份有限公司 密钥的衍生方法及装置
US10433174B2 (en) * 2017-03-17 2019-10-01 Qualcomm Incorporated Network access privacy
CN109391648B (zh) * 2017-08-04 2020-12-22 华为技术有限公司 一种应用与网络切片的关联方法、装置和通信系统
CN112020121B (zh) * 2018-01-19 2023-05-30 Oppo广东移动通信有限公司 一种接入控制的方法、设备及计算机存储介质
CN110167025B (zh) * 2018-02-13 2021-01-29 华为技术有限公司 一种通信方法及通信装置
CN110351721A (zh) * 2018-04-08 2019-10-18 中兴通讯股份有限公司 接入网络切片的方法及装置、存储介质、电子装置
US10455637B1 (en) * 2018-06-08 2019-10-22 Verizon Patent And Licensing Inc. Next generation to VoLTE fallback for voice calls
CN111654862B (zh) * 2019-03-04 2021-12-03 华为技术有限公司 终端设备的注册方法及装置
CN111835802B (zh) * 2019-04-18 2021-08-27 大唐移动通信设备有限公司 一种通信方法及装置
US11336682B2 (en) * 2019-07-09 2022-05-17 Nice Ltd. System and method for generating and implementing a real-time multi-factor authentication policy across multiple channels
US11337119B2 (en) 2019-08-07 2022-05-17 Verizon Patent And Licensing Inc. Next generation to long term evolution (LTE) fallback for voice calls
CN112788704B (zh) * 2019-11-06 2022-05-10 华为技术有限公司 网络切片的使用控制方法、装置及系统
EP3826340A1 (en) * 2019-11-21 2021-05-26 Thales Dis France Sa Method for authenticating a user on a network slice
CN114079915A (zh) * 2020-08-06 2022-02-22 华为技术有限公司 确定用户面安全算法的方法、系统及装置
CN112616124B (zh) * 2020-12-03 2023-11-24 广东电力通信科技有限公司 一种基于5g网络切片的电力物联网安全管理方法及系统
US11968242B2 (en) * 2021-07-01 2024-04-23 Cisco Technology, Inc. Differentiated service in a federation-based access network
US12088510B2 (en) * 2022-09-14 2024-09-10 At&T Intellectual Property I, L.P. System and method of software defined network enabled slicing as a service utilizing artificial intelligence
CN115580482A (zh) * 2022-11-07 2023-01-06 新华三信息安全技术有限公司 一种安全管理方法、装置、设备及机器可读存储介质
KR102704755B1 (ko) * 2024-07-11 2024-09-11 주식회사 파이오링크 가상 호스트를 이용하여 네트워크에 대한 사이버 위협을 탐지하는 사이버 보안 서비스를 제공하는 방법 및 이를 이용한 사이버 보안 서비스 제공 서버

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004328029A (ja) * 2003-04-21 2004-11-18 Nec Corp ネットワークアクセスシステム
US20060041939A1 (en) * 2004-08-19 2006-02-23 Sharon Schwartzman Method and apparatus for selection of authentication servers based on the authentication mechanisms in supplicant attempts to access network resources
JP2009533980A (ja) * 2006-04-14 2009-09-17 クゥアルコム・インコーポレイテッド ホーム・エージェントの自動選択
JP2011176469A (ja) * 2010-02-23 2011-09-08 Nippon Telegr & Teleph Corp <Ntt> 通信方法および通信システム
JP2013506918A (ja) * 2009-09-30 2013-02-28 アマゾン テクノロジーズ インコーポレイテッド モジュラーデバイス認証フレームワーク
JP2014155095A (ja) * 2013-02-12 2014-08-25 Oki Electric Ind Co Ltd 通信制御装置、プログラム及び通信制御方法
JP2015524186A (ja) * 2012-05-09 2015-08-20 インターデイジタル パテント ホールディングス インコーポレイテッド フレキシブルなネットワーク共有

Family Cites Families (25)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7450595B1 (en) * 2001-05-01 2008-11-11 At&T Corp. Method and system for managing multiple networks over a set of ports
FR2865051B1 (fr) * 2004-01-14 2006-03-03 Stg Interactive Procede et systeme pour l'exploitation d'un reseau informatique destine a la publication de contenu
US7356694B2 (en) * 2004-03-10 2008-04-08 American Express Travel Related Services Company, Inc. Security session authentication system and method
CN100525184C (zh) * 2004-05-27 2009-08-05 华为技术有限公司 网络安全防护系统及方法
JP2006065690A (ja) * 2004-08-27 2006-03-09 Ntt Docomo Inc デバイス認証装置、サービス制御装置、サービス要求装置、デバイス認証方法、サービス制御方法及びサービス要求方法
US20080076425A1 (en) * 2006-09-22 2008-03-27 Amit Khetawat Method and apparatus for resource management
US8595816B2 (en) * 2007-10-19 2013-11-26 Nippon Telegraph And Telephone Corporation User authentication system and method for the same
TW200922256A (en) * 2007-11-06 2009-05-16 Nat Univ Tsing Hua Method for reconfiguring security mechanism of a wireless network and the mobile node and network node thereof
US8966584B2 (en) * 2007-12-18 2015-02-24 Verizon Patent And Licensing Inc. Dynamic authentication gateway
CN101232509A (zh) 2008-02-26 2008-07-30 杭州华三通信技术有限公司 支持隔离模式的网络接入控制方法、系统及设备
US8812374B1 (en) * 2008-06-30 2014-08-19 Amazon Technologies, Inc. Client-to service compatibility framework
EP2327269B1 (en) * 2008-09-15 2018-08-22 Samsung Electronics Co., Ltd. Method and system for creating a mobile internet protocol version 4 connection
US8488596B2 (en) 2008-11-03 2013-07-16 At&T Intellectual Property I, L.P. Method and apparatus for sharing a single data channel for multiple signaling flows destined to multiple core networks
WO2012149384A1 (en) * 2011-04-28 2012-11-01 Interdigital Patent Holdings, Inc. Sso framework for multiple sso technologies
US8819794B2 (en) * 2012-01-19 2014-08-26 Microsoft Corporation Integrating server applications with multiple authentication providers
JP5466723B2 (ja) * 2012-03-07 2014-04-09 株式会社Nttドコモ ホスト提供システム及び通信制御方法
JP2014082638A (ja) * 2012-10-16 2014-05-08 Ukd:Kk 仮想ネットワーク構築システム、仮想ネットワーク構築方法、小型端末並びに認証サーバ
US8763057B2 (en) * 2012-11-06 2014-06-24 Verizon Patent And Licensing Inc. Method and system for enhancing delivery of third party content
CN103124443B (zh) 2012-12-28 2015-09-23 上海顶竹通讯技术有限公司 多个核心网与无线网络控制器之间的互联装置及方法
JP6198476B2 (ja) 2013-06-20 2017-09-20 株式会社日清製粉グループ本社 麺類の製造方法
CN105025478A (zh) * 2014-04-30 2015-11-04 中兴通讯股份有限公司 D2D通信安全配置方法、ProSe密钥管理功能实体、终端及系统
US9521539B2 (en) 2014-06-05 2016-12-13 Cisco Technology, Inc. System and method for small cell gateway core network selection in a multi-operator core network environment
US9825928B2 (en) * 2014-10-22 2017-11-21 Radware, Ltd. Techniques for optimizing authentication challenges for detection of malicious attacks
US9900446B2 (en) * 2015-02-15 2018-02-20 Lenovo (Beijing) Co., Ltd. Information processing method using virtual subscriber identification card information, electronic apparatus and server
CN104639559B (zh) * 2015-02-27 2018-04-03 飞天诚信科技股份有限公司 一种支持多种认证协议的认证方法、认证服务器及系统

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004328029A (ja) * 2003-04-21 2004-11-18 Nec Corp ネットワークアクセスシステム
US20060041939A1 (en) * 2004-08-19 2006-02-23 Sharon Schwartzman Method and apparatus for selection of authentication servers based on the authentication mechanisms in supplicant attempts to access network resources
JP2009533980A (ja) * 2006-04-14 2009-09-17 クゥアルコム・インコーポレイテッド ホーム・エージェントの自動選択
JP2013506918A (ja) * 2009-09-30 2013-02-28 アマゾン テクノロジーズ インコーポレイテッド モジュラーデバイス認証フレームワーク
JP2011176469A (ja) * 2010-02-23 2011-09-08 Nippon Telegr & Teleph Corp <Ntt> 通信方法および通信システム
JP2015524186A (ja) * 2012-05-09 2015-08-20 インターデイジタル パテント ホールディングス インコーポレイテッド フレキシブルなネットワーク共有
JP2014155095A (ja) * 2013-02-12 2014-08-25 Oki Electric Ind Co Ltd 通信制御装置、プログラム及び通信制御方法

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
"3rd Generation Partnership Project; Technical Specification Group Services and System Aspects; Study", 3GPP TR 23.799 V0.5.0 (2016-05), vol. [検索日 2020.02.20], JPN6020007226, May 2016 (2016-05-01), pages 35 - 56, ISSN: 0004220971 *

Also Published As

Publication number Publication date
EP3468137A1 (en) 2019-04-10
EP3468137A4 (en) 2019-06-19
BR112019000169A2 (pt) 2019-04-30
JP6737948B2 (ja) 2020-08-12
EP3468137B1 (en) 2023-05-10
US10897712B2 (en) 2021-01-19
CN107579948B (zh) 2022-05-10
CN107579948A (zh) 2018-01-12
KR102169767B1 (ko) 2020-10-26
WO2018006626A1 (zh) 2018-01-11
KR20190018720A (ko) 2019-02-25
US20190159029A1 (en) 2019-05-23

Similar Documents

Publication Publication Date Title
JP6737948B2 (ja) サイバーセキュリティ管理システム、方法、および装置
US10999881B2 (en) Session management method and device
WO2020029729A1 (zh) 一种通信方法和装置
EP3496432B1 (en) Efficient multicast transmission
JP2013527656A (ja) 複数のimsiをサポートする方法、装置及びシステム
CN105409263A (zh) 用于代理算法标识选择的方法和装置
CN108401273B (zh) 一种路由方法和装置
CN105323231A (zh) 安全算法选择方法、装置及系统
KR102329095B1 (ko) 네트워크 접속 방법, 관련 기기 및 시스템
CN109600709B (zh) 空间众包任务分配方法及系统
CN104254129A (zh) 临近业务发现的资源配置方法及装置
WO2018076298A1 (zh) 一种安全能力协商方法及相关设备
US20180081746A1 (en) Application message processing system, method, and application device
CN107306289B (zh) 一种基于云计算的负载均衡方法及设备
EP3190856A2 (en) Communications method, device, and system
CN115348614A (zh) 一种跨服务平台的终端通信方法及装置
WO2018082944A1 (en) A communication network and a method for establishing non-access stratum connections in a communication network
US10841792B2 (en) Network connection method, method for determining security node, and apparatus
US11272357B2 (en) Method and device for determining SIM card information
US20240121835A1 (en) Apparatus and method for providing communication service for accessing ip network, and storage medium
WO2022032525A1 (zh) 一种组密钥分发方法及装置
US20230308864A1 (en) Wireless communication method, apparatus, and system
WO2022187987A1 (en) Systems and methods on id swapping during data forwarding
CN109691144B (zh) 信息传输方法、网元选择器及控制器
Sathi et al. A Novel Approach to Slice Selection in Private 5G-and-Beyond Networks for Industrial IoT

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20190129

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20190129

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20200219

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20200303

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20200527

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20200630

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20200716

R150 Certificate of patent or registration of utility model

Ref document number: 6737948

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

LAPS Cancellation because of no payment of annual fees